チェック・ポイントのセキュリティ研究チームは、Facebook の Messenger (オンライン版とモバイル アプリの両方) に脆弱性を発見しました。この脆弱性により、攻撃者はチャット履歴の内容を変更したり、チャット サービスを通じてマルウェアを拡散したりすることが可能になります。
攻撃者はまずメッセージのIDを取得する必要がありますが、これはブラウザのデバッグツールと基本的なHTMLの知識があれば簡単に取得できます。メッセージのIDが特定されると、攻撃者はユーザーに通知されることなく、改ざんされたメッセージをFacebookのサーバーに送信できます。
この形式の攻撃は、悪意のある人物にとって利益を生む戦略となり得ます。既存のメッセージの1つを改ざんし、マルウェアへのリンクを含めることで、マルウェアやランサムウェアをユーザーのチャットに送信できるからです。また、契約や取引の特定の詳細を偽造するためにも、この攻撃が利用される可能性があります。
将来的にこの種の攻撃を回避する方法の一つは、Facebookがエンドツーエンドの暗号化を導入することです。そうすれば、メッセージはユーザーのデバイスに保存され、Facebookのサーバーがメッセージの内容にアクセスしたり改ざんしたりすることはできなくなります(少なくとも暗号化が適切に認証されている場合)。
この脆弱性は、メッセージは通常Facebookのサーバーに保存され、Facebookは必要に応じてメッセージを改ざんすることも可能であったために存在しました。攻撃者は、Facebookが既に持っている機能を悪用しているだけです。
だからこそ、エンドツーエンドの暗号化はユーザーデータの保護において非常に重要なのです。データが企業の管理下になければ、ハッキングやデータ漏洩によって数百万人ものデータが一度に漏洩することはありません。
Facebook Messengerは現在8億人のアクティブユーザーを抱え、世界最大級のメッセージングプラットフォームの一つとなっていますが、Whatsappの10億ユーザー数には依然として及ばない状況です。Whatsappはすでにエンドツーエンド暗号化をデフォルトで採用しており、Facebookも今後数ヶ月以内にエンドツーエンド暗号化を採用すると報じられています。ただし、これはオプトイン方式のため、ユーザーは手動で有効化する必要があります。つまり、ほとんどのユーザーはその存在に気づかないか、わざわざ設定しない可能性が高いということです。Googleも、新しいAlloメッセンジャーで同様のエンドツーエンド暗号化戦略を採用しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
CheckPoint Securityは既にFacebookに対し、メッセージ改ざんの脆弱性について警告を発しており、Facebookは今月初めにこの脆弱性を修正したため、ユーザーは少なくともこの特定の脆弱性について心配する必要はなくなりました。しかし、Facebookがメッセージにアクセスできる限り、同様の攻撃が今後も発生する可能性があり、これらのメッセージとこの人気チャットサービスは、悪意のある攻撃者にとって魅力的な標的となっています。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
