木曜日に明らかになった情報によると、Facebookは6億人のユーザーのパスワードを平文で保管していた。最大2万人の従業員がいつでもこれらのパスワードにアクセスできた可能性があるが、同社は現時点で従業員がこれらのパスワードに不正にアクセスした兆候はないと主張している。
Facebookのパスワードをプレーンテキストで
Facebookは公式声明で、1月に実施した定期的なセキュリティレビューにおいて、セキュリティチームが一部のユーザーのパスワードが判読可能な形式で保存されていることを発見したと述べました。同社は、パスワードをマスクし、従業員や悪意のあるハッカーが判読できないようにする技術を通常採用しているため、このような事態は発生しないはずであると主張しました。
Facebookは、新規アカウントのパスワード作成後すぐに、通常、ユーザーのパスワードを「ハッシュ化」および「ソルト化」すると述べている。また、Facebookのエンジニアリング、セキュリティおよびプライバシー担当バイスプレジデントであるペドロ・カナワティ氏がブログで述べたように、「scrypt」と呼ばれる関数と暗号鍵を使用することで、ユーザーのパスワードをランダムな文字列に不可逆的に置き換え、サーバー上に実際のパスワードの代わりに保存している。
内部関係者の意見
Krebs on Securityが引用したFacebook内部の情報筋によると、Facebookのエンジニア最大2,000人が、プレーンテキストのユーザーパスワードを含むデータ要素について、約900万件の内部クエリを実行したとのことです。しかし、Facebookは独自の調査の結果、これまで従業員がこれらのプレーンテキストのユーザーパスワードに不正にアクセスした事例は確認されていないと公式に発表しています。
これは内部関係者の発言とは矛盾しているが、Facebook社が「データへの不正アクセス」を、報道機関に情報を暴露した内部関係者とは異なる解釈をしている可能性もある。
情報筋はまた、同社の法務チームは、被害を最小限に抑える方法で影響を受けたユーザーを数えることで、影響を受ける可能性のあるユーザーの公式数を減らすことに満足していると主張した。
たとえば、ある情報筋によると、Facebook はデータ ウェアハウスに現在存在するデータのみをカウントしており、他のユーザーに関する他のデータが削除されている可能性があることを示唆している (自動、スケジュールされたデータ消去により、または手動で)。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Facebookは、影響を受けるユーザー(おそらく影響を受けると考えられるユーザーの下限)に通知する予定ですが、パスワードの自動リセットは行いません。FacebookとInstagramのパスワード変更をユーザーに促すとともに、アカウントの保護を強化するために物理的なセキュリティキーの使用を推奨しています。
Facebookのデータ運用に関する刑事捜査
ケンブリッジ・アナリティカ事件以来、Facebookは世界各国政府から非難を浴びています。最近、連邦検察は、Facebookとデバイスメーカーおよび一部のサービスベンダーとのデータ取引について刑事捜査を開始したと発表しました。Facebookは、これらのハードウェアメーカーに対し、公開APIで許可されている範囲を超えてユーザーの個人データへのアクセスを許可していたとされています。
連邦取引委員会(FTC)と証券取引委員会(SEC)も、Facebookによるユーザーデータの不適切な取り扱いについて独自の調査を実施している。FTCは、2011年にFTCと締結したプライバシー関連の和解に違反したとして、Facebookに対し数十億ドルの罰金を科す準備を進めていると噂されている。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
