Facebookのアクセストークン流出について解説--月例レポート(IIJ) | ScanNetSecurity
2024.03.29(金)

Facebookのアクセストークン流出について解説--月例レポート(IIJ)

IIJは、「wizSafe Security Signal 2018年9月 観測レポート」を発表した。

脆弱性と脅威 脅威動向
DDoS攻撃の検出件数(2018年9月)
DDoS攻撃の検出件数(2018年9月) 全 4 枚 拡大写真
株式会社インターネットイニシアティブ(IIJ)は10月31日、「wizSafe Security Signal 2018年9月 観測レポート」を発表した。レポートによると、2018年9月に観測したDDoS攻撃は、1日あたり14.9件(前月は14.87件)、最大通信量は25.05Gbps(前月は15.17Gbps)であった。DDoSを除くインターネットからの攻撃は、引き続きNetis社、Netcore社、D-Link社製ルータの脆弱性を狙った攻撃が大半を占めたが、9月17・18日は他の期間と比べて攻撃種別は増加しておらず、異なる傾向が見られた。

Webアクセス時に検出されたマルウェアでは、先月に引き続き「Trojan.JS.Agent」が全体の過半数を占めた。これまではWordPressを利用したWebサイトを中心に検出していたが、同月はWordPressを利用していないWebサイトによる検出が8割以上を占めた。メールで検出されたマルウェアでは、9月20日にマルウェアの検出数が増加した。この増加は「Exploit.MSOffice.CVE-2017-11882」を9月19日と20日の2日間に集中して検出したためだという。

レポートではまた、Facebookのアクセストークン流出事例についても紹介している。9月28日(米国時間)、Facebook社はSNSサービス「Facebook」のプレビュー機能の脆弱性が悪用され、アカウントの認証などに利用されるアクセストークンが流出したと公表した。アクセストークンは認証システムから発行される認証情報であり、Facebookではログイン状態の保持やAPI利用時の認証に利用されている。

今回の事例では、Facebookのプレビュー機能の一部機能に存在する脆弱性が悪用された。プレビュー機能は、ユーザのプロフィールが他のユーザからどのように見えるかを確認できる機能だが、誤って動画投稿機能も提供されていた。この機能に、動画の投稿者に対しアクセストークンを発行する脆弱性があった。攻撃者はこの脆弱性を悪用して不正にアクセストークンを発行し、不正ログインに利用した。その結果、5,000万件近くのアカウントが影響を受けたと報告されている。

レポートではこのほか、「攻撃者グループMagecartによるECサイトの改ざん被害」「Java 11の公開とソフトウェアのサポート期間」「80/tcpを利用したSYN/ACKリフレクション攻撃」について解説している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る