「セキュリティ」という言葉がFacebookが考えている意味と異なることをさらに証明する証拠が、Facebookが本日発表した。定期的なセキュリティレビューの結果、社内データストレージシステムに「一部のユーザーパスワード」がプレーンテキスト形式で保存されていたことが判明したのだ。しかも、その情報には数千人の従業員がアクセス可能だったのだ。
1月に実施した定期セキュリティレビューの一環として、一部のユーザーパスワードが社内データストレージシステム内に判読可能な形式で保存されていることが判明しました。当社のログインシステムは、パスワードを判読不能な技術を用いてマスクするように設計されているため、この問題に気付きました。これらの問題は既に修正済みであり、予防措置として、このような形式でパスワードが保存されていたことが判明したすべてのユーザーに通知いたします。
明確に申し上げますが、これらのパスワードはFacebook社外の誰にも閲覧されたことはなく、現在までに社内で不正に利用されたり、不適切にアクセスされたりしたという証拠も見つかっていません。数億人のFacebook Liteユーザー、数千万人のFacebookユーザー、そして数万人のInstagramユーザーに通知する予定です。Facebook Liteは、主にインターネット接続が不安定な地域のユーザーが利用しているFacebookのバージョンです。
また、「一部のユーザーのパスワード」も、ソーシャルネットワーク側が想定している意味とは異なるようです。ある社内関係者がKrebsOnSecurityに語ったところによると、2億~6億人のユーザーのアカウントパスワードが、2万人の従業員がアクセスできるデータベースに平文で保存されていた可能性があるとのことです。念のため、Instagramのパスワードに加え、Facebook Liteユーザーのパスワードも含まれていました。
同社は、パスワードが悪用されたり不適切にアクセスされたりしたという「これまでの証拠はない」としているが、KrebsOnSecurityの情報筋は異なる見解を示している。
Facebook の内部関係者によると、アクセス ログには約 2,000 人のエンジニアや開発者が、プレーンテキストのユーザー パスワードを含むデータ要素に対して約 900 万件の内部クエリを実行したことが示されているとのことです。
「分析が進むにつれて、Facebookの法務担当者は影響を受けるユーザーの数を下限値に抑える傾向にある」と情報筋は述べた。「現在、彼らはデータウェアハウスに現在保存されているデータのみをカウントすることで、その数をさらに減らす取り組みを進めている」
同ソーシャルネットワークは、パスワードが不適切に保管されていたユーザーに通知するとし、アクセストークンなどの特定のカテゴリの情報の保管方法を調査し、問題が見つかった場合は修正していると述べた。
FacebookとInstagramのユーザーは、パスワードの変更を強くお勧めします。他のウェブサイトで使用しているものとは異なる、独自のパスワードを使用してください。また、念のため二段階認証も有効にしてください。しかし、おそらく皆さんは前回のFacebookの騒動で、これらのことを覚えているでしょう。
