Photo: kgmi

9月28日に明らかになったFacebookの個人情報大量流出は単にメールアドレスなどの情報が漏れたというわけではなく、セキュリティの鍵となるデジタルトークンという上位の情報流失であった。これは毎月22億人以上のユーザーを抱えるSNSの数千万のアカウントに影響を与えた。これが重大なセキュリテイ上の過失だとして、アイルランドの情報管理当局は、Facebookが新しいEUのプライバシー規制に準拠しているかどうか、正式な調査を開始したと発表した。

今回のハッカーは高度な技術を逆手にとり、3つのソフトウェアバグの間の複雑な相互作用を利用していた。基になった脆弱性は、2017年7月のビデオアップロード機能の変更によるものであった。

犯人は、Facebookが自分のプロフィールがソSNS上の他の人にどのように見えるかを示す「See As」機能のバグを利用した。この機能を使用して、「アクセストークン」と呼ばれるデジタルキーを生成する。このキーを使用すると、パスワードを再入力せずにアカウントに接続できてしまうのだ。

ハッカーは、デジタルキーのコピーを盗み、正当な所有者と同じアクセス権とアカウント管理を可能にした。すなわち5,000万人のユーザーに「なりすまし」ができることになる。9月16日、Facebookは兆候を捉え、9月25日ハッカーがこの脆弱性を悪用した高度な攻撃を開始したと判断した。 2日後に問題が修正されたため、盗まれたトークンが役に立たなくなった。

Facebookは、ハッカーが侵入した（侵入できるようにした）アカウントで何が起きたのか把握しようとしている。メッセージや投稿は改ざんされていなかったし、銀行やパスワード情報にアクセスした形跡はない。ハッカーの目的は不明だが被害がなかったことから、金銭的な目的ではなかったようだ。

またデジタルキーが盗まれるとFacebookにリンクされた第三者のアプリケーションにアクセスすることができたはずだが、それも起きていない。例えばFacebookの所有するMessengerやInstagramなどのリンクアカウントに侵入することはできたが、WhatsAppサービスには侵入できなかったとみられる。

Facebookは、最大5,000万人のアカウントが影響を受けていることを認め、アイルランドの情報管理委員会によれば、500万人以下の欧州ユーザーが影響を受けている。

Facebookは「アクセストークン」を無効にしたため、パスワードを使って新たにログインする必要が生じた。個人情報の保護は、米国の連邦取引委員会の権限の下にあるが、欧州では、Facebookの違反行為とそれがどのように処理されたかは、個人情報保護を強化したEU一般データ保護規則（General Data Protection Regulation：GDPR）（注1）の準拠が求められる。企業がGDPRの規則を破った場合、その企業は年間収入の一定割合の罰金が科される。

（注1）EU一般データ保護規則（General Data Protection Regulation：GDPR）は欧州連合（EU）における新しい個人情報保護の枠組みであり、個人データ（personal data）の処理と移転に関するルールを定めた規則。1995年から適用されたEUデータ保護指令（Data Protection Directive 95）に代わり、EU加盟諸国に対して直接効力が発生する法規制として2016年4月に制定された。