カテゴリー
セキュリティ情報

Facebookアクセストークン流出事件についての対策は必要か?

先日「Facebook 5千万人情報流出」というニュースが流れました。今現在、Facebookによってこの流出に対する対応が終わり「問題は収束した」という状態になっています。

このような情報が流れると、「自分は大丈夫か?」という気持ちも起こると思いますので、これはどのようなことが起こっていたのか、について書きます。

Facebookアクセストークン流出事件の概要

アクセストークン流出事件については

https://ja.newsroom.fb.com/news/2018/09/security_update/

こちらにFacebookによる説明がありました。かいつまむと

  • 発表は2018年9月28日
  • アクセストークンが流出した
  • この時点で該当したと思われるユーザーのアクセストークンはリセットした
  • アクセストークンが流出する原因はプログラムのバグであり、そのバグは修復した

ということです。

アクセストークンとは

IDとパスワードで正しくログインしましたよ、ということを アクセストークン というもので証明するもの

です。

今回流出したと思われるアクセストークンはすべてリセットされたので、今回の流出により被害を受ける人は論理的に存在しないことになります。

また、IDとパスワードで正しくログインしましたよ ということを証明するための トークン なので、そのときに使われたIDやパスワードが トークン から解明されてしまうものではありません。

映画のチケットで例えると

今回のアクセストークン流出についてを映画のチケットで例えてみると、

  1. クレジットカードを使用して映画の入場券を購入
  2. 映画館に行く道すがら、入場券を落としてしまう
  3. 入場券を拾った人は映画館には入れるが、入場券からクレジットカード番号は特定されない

というようなことになります。

今回は 2. が行われる前に「該当する入場券を無効」にしていますので被害は起こらなかったということになります。

Facebookのユーザーは何をすべきか?

ということから、今時点では「何もする必要はない」ということになります。

パスワードを変更する、ということが今回の流出に対する対策にはならないということは上記に書いたとおりですが、何かしないと心配であればパスワードを変更するということも心の安寧のために変更するのもいいかもしれません。

参考になりそうな記事を見つけましたのでよろしければこちらも参考にしてみて下さい。

Facebookのアクセストークン流出に関して利用者ができること

この記事に質問をする