2018年9月29日に発覚した、Facebookのアクセストークン情報を不正取得するハッキング事件は、ひどい状況と言って差し支えないでしょう。ユーザーたちは、自分のデバイスでFacebookアカウントに再度ログインしなければならなかったでしょうが、今回の状況のひどさは、そうした煩わしさをはるかに超えています。
同社は現在も詳細の解明に努め、開発者たちが攻撃の影響を軽減できるよう取り組んでいます。でも、ユーザー自身にも、自分のデジタルライフのコントロールを取り戻すためにできることが3つあります。
まずは、Facebookによるハッキングの最新分析結果を見てみましょう。
致命傷は免れたが、潜在的な問題がある
Facebookは2018年10月2日付けのブログ記事で、攻撃の余波についてかなり楽観的な見方を示しています。「現時点では、Facebookログインを使用するアプリへの攻撃者によるアクセスは認められなかった」とのこと。また、「影響を受けた可能性のあるアプリの利用者を特定するツールを現在開発中です。これにより、影響を受けた可能性がある利用者をログアウトさせることができます」とも書かれています。
たしかにこの見解は、ここ数日間にセキュリティ研究者らが懸念していたような悲観的な見通しよりはマシに聞こえます。セキュリティ研究者らは(当然のことながら)、Facebookがハッキングを受けた結果、広範囲にわたってアカウントのセキュリティが崩壊したのではないかと見ていました。
とはいえ、イリノイ大学シカゴ校コンピューターサイエンス学部のアシスタント・プロフェッサーを務めるJason Polakisは、大局的な(かつ、いまや広く参照されている)Twitterのスレッドで、潜在的な問題点をいくつか列挙しています。
あるサイトがどのようにローカル・アカウント管理機能を実装しているかによるが、場合によっては、Facebookアカウントと関連付けられていないユーザーのサードパーティーアカウントにも、攻撃者はアクセスし得る。もしくは、攻撃者に対して、(ユーザー名義の)新しいアカウントが提示される可能性もある。(7/n)
- jason polakis (@jpolakis) September 30, 2018
さらに深刻な点は、攻撃者がそうしたサードパーティーにいったんアクセスできてしまえば、攻撃者は、サイト側が設定したクッキーを使用して、それらのウェブサイトにあるユーザーアカウントへのアクセスを維持できることだ。Facebookがいかなる措置を取ったとしても、攻撃者によるそうしたアカウントへのアクセスを防ぐことはできない。(9/n)
- jason polakis (@jpolakis) September 30, 2018
Facebookのサービスを使ったシングルサインオンは止めるべき
Facebookの主張によれば、状況は以前の見通しよりはマシとのこと。そうはいっても、ハッキングによる直接的影響を受けた5000万のアカウントにとっては、アクセスされたデータがあった場合、それはどのデータだったのか、という点に関して多くの疑問が残っています。
また、米紙『ニューヨーク・タイムズ』のコラムニストFarhad Manjoo氏が指摘しているように、Facebookの重大なセキュリティ問題は、あらゆるツールをすべて収納するデジタル版「工具ベルト」にするにはFacebookは不適格だ、と烙印を押すに足るものです。同社のサービスを使ってのシングルサインオンは、直ちにやめるべきでしょう。
これは、典型的な「たったひとつの仕事もできなかったのか(You had one job!)」という状況だ。Facebookは、オンラインにあるすべてのドアロックの鍵を預かると申し出た。ブルックリンにある、エレベーターのないアパートの信頼できる管理人のようなものだ。
その取り決めは、便利なものだった。管理人はいつもそこにいて、ボタンひとつで呼び出すことができた。また、さまざまなサイト用にいくつものパスワードを作成して覚えるよりも、ずっと安全なはずだった。Facebookには、財務の面でも評判の面でも、最高のセキュリティ人材を雇ってあなたの鍵を守るインセンティブがあったからだ。小規模なサイトには、それがない。そうした小規模なサイトがハッキングされ、そのパスワードをあなたがほかでも使い回していたとしたら、あなたは窮地に立たされることになるだろう。
だが、(Facebookの)大規模なハッキングにより、そうした前提は消えてなくなった。信用して鍵を預けていた相手が、あなたの鍵を紛失してしまったら、あなたは鍵を別のところに移すはずだ。そして、より安全に、そして同じくらい便利にオンラインでサインオンするための方法は、たくさんある。
これはとても優れたアドバイスだと思います。さらに、もっと踏み込んだ対策を取ることも可能です。
対策1:「アクティブ」タブにあるアプリをすべて削除
まずは、Facebookの「設定」メニューを開き、「アプリとウェブサイト」の「アクティブ」タブにあるすべてのアプリを削除します。そうです、1つ残らずです。削除しても使えなくなることはありません。大丈夫です。
対策2:「アプリ・ウェブサイト・ゲーム」でオフ設定に
さらに、もう少し踏み込んでみることもできます。「設定」項目の「アプリ・ウェブサイト・ゲーム」セクションで、「編集する」をクリックして、「オフにする」ボタンをクリックします。これで、Facebookアカウントを使って新しいサービスにサインオンしたいという誘惑に駆られることはなくなります。何故なら、もう機能しないからです!
対策3:Gmailアカウントに「少し手を加えて」使用する
3つ目の、もう少し思い切った手段を取ることもお勧めします。Gmailアカウントをまだ持っていないなら、登録しましょう。
そして、新しいサービス(例えばTwitterなど)に登録する際には、例えばyourrealemail+twitter@gmail.comのような、元の電子メールアドレスに少し手を加えたアドレスを使用してください。Googleでは、電子メールアドレス内の「+」記号とその後ろに続く文字列が無視されますが、Twitterなどのサービスでは、それらを含めた全文字列が、固有の電子メールアドレスと認識されるはずです。
そのついでに、Facebookの電子メールアドレスもユニークなもの、例えばwhatever+facebook@gmail.comなどに切り替えると良いでしょう。
少しばかり反則球になりますが、こうすることで、理屈の上では、攻撃者があるサービスのアクセストークンを使って、別のサービスであなたのアカウント(もしくは今後作成されるアカウント)を乗っ取ろうとしても、あなたがその別のサービスでシングルサインオンを設定していなければ、乗っ取るのは難しくなるはずです。何故なら、その両者の間にはなんのつながりもないからです。
少なくともこの対策は、Jason Polakis氏が前述のツイートで訴え、『Guardian』が以下のように要約した問題に対処するのに役立つはずです。
「事態はさらに悪い。アプリやウェブサイトでFacebookのサインイン機能を使ったことがないとしても、どちらのサービスでも同じ電子メールアドレスを使っているのであれば、攻撃者はあなたになりすまし、トークンを使ってログインすることができると、Polakis氏は指摘している。
また、そうしたサービスのアカウントをまだ持っていない場合、攻撃者はトークンを使って、あなたの名義でアカウントを作ることができる。そうしたアカウントは、休眠状態のままあなたがログインするのをじっと待ち続け、ログインしたあかつきには、あなたの個人情報を盗み出すことができる」
パスワードマネージャーで「2段階認証」を有効にしよう
『LastPass』や『1Password』などのツールを使ってアカウントを管理しているなら、どんなふうに手を加えたメールアドレスをどのサービスで使っているかを覚えるのは、難しくないはずです。
さらに、パスワードマネジャーで「2段階認証」も有効にしましょう。あとは、そのパスワードマネジャーが、Facebookの直面しているようなひどいセキュリティ侵害の被害に遭わないことを祈りましょう。そうなったら、もうどうしようもありません。
あわせて読みたい
Image: AlexandraPopova / Shutterstock.com
Source: Facebook newsroom( 1, 2), jason polakis / Twitter( 1, 2, 3 ), ニューヨーク・タイムズ, Facebook, The Guardian
David Murphy - Lifehacker US[原文]
