Facebookでまたセキュリティー上の問題が見つかった。
コンピューターセキュリティを専門とする調査報道ジャーナリストのBrian Krebsは自身のサイトで「長年にわたってFacebookは数億アカウントのパスワードを平文で保存している」とするレポートを発表した。 Facebookは米国時間3月21日、公式ブログで事実だと認めた。
FacebookのPedro Canahuati氏によれば、問題が発見されたのはは1月に行われた定例のセキュリティチェックの際で、パスワードを見ることができるのはFacebook社内の担当者だけだという。しかしKrebsは「Facebookでは2000人のエンジニア、デベロッパーがパスワードを含むログにアクセス可能だ」と指摘している。しかもFacebookがこの失態を認めたのは事実が判明してから何カ月もたち、外部のジャーナリストであるKrebs氏に指摘されてからだった。
Krebs氏によれば、バグは2012年にさかのぼるという。FacebookのCanahuati氏はブログでこう述べている。
我々のログインではユーザー以外がパスワードを見ることができないようにマスクするシステムを採用しており、これ(をチェックする際に平文で保存していること)がわれわれの注意を引いた。パスワードは社外からアクセスすることはできないし、社内でも悪用されたり、不適切なアクセスを受けたという証拠はまったく発見されていない。
しかしどのようにしてこの結論に達したのかは説明されていない。Facebookは数億人のユーザーにこの問題を通知するという。またInstagramのユーザーにも通知がいくはずだ。これには途上国など接続スピードが遅く、通信量が高価な地域向けの軽量版であるFacebook Lightのユーザーも含まれる。
Krebs氏は「6億人のユーザーが影響を受ける可能性がある」としている。これは同社の27億人のユーザーの約5分の1だが、この数字はまだFacebookによって確認されていない。
またどのようにしてこのバグがシステムに入り込んだのかもまだ説明されていない。パスワードを誰でも読める平文のまま保存するというのはもちろん適切な方法ではない。Facebookのような大企業はパスワードを保存する際にソルトを付加してハッシュ化するのが普通だ。どちらのテクニックも攻撃を著しく困難にする。この方法を用いればシステム側もパスワードの内容を知る必要がない。
昨年、TwitterとGitHubでも似たような(ただしそれぞれ異なる)バグが発見された。両社ともパスワードにスクランブルをかけず平文のまま保存していた。
いずれにせこのバグはFacebookを襲っている一連のセキュリティ問題の最新の例だ。Facebookがユーザーの許可を得ずにサードパーティーに個人情報にアクセスすることを許す契約を結んでいた問題は刑事事件として捜査されることが報じられた。 最近の一連のセキュリティ問題は議会への証人喚問や政府の諸機関による調査をもたらしている。
Facebookが事実を確認するのに長時間かかった理由、またデータ漏洩が発生した場合、米国、ヨーロッパにおいてはそれぞれ法で定められた通知義務が発生するがその通知を行ったのかどうか、Facebookにコメントを求めた。今のところ冒頭で紹介したブログ記事以上の回答は得られていない。
なおFacebookのヨーロッパにおける運営を管轄するアイルランド政府のデータ保護局は「Facebookからこの問題に関する通知を受けた。さらに詳しい情報を求めている」としている。
画像:Getty Images
[原文へ]
(翻訳:滑川海彦@Facebook)
