Facebookのアクセストークン流出について解説--月例レポート（IIJ）

株式会社インターネットイニシアティブ（IIJ）は10月31日、「wizSafe Security Signal 2018年9月観測レポート」を発表した。レポートによると、2018年9月に観測したDDoS攻撃は、1日あたり14.9件（前月は14.87件）、最大通信量は25.05Gbps（前月は15.17Gbps）であった。DDoSを除くインターネットからの攻撃は、引き続きNetis社、Netcore社、D-Link社製ルータの脆弱性を狙った攻撃が大半を占めたが、9月17・18日は他の期間と比べて攻撃種別は増加しておらず、異なる傾向が見られた。

Webアクセス時に検出されたマルウェアでは、先月に引き続き「Trojan.JS.Agent」が全体の過半数を占めた。これまではWordPressを利用したWebサイトを中心に検出していたが、同月はWordPressを利用していないWebサイトによる検出が8割以上を占めた。メールで検出されたマルウェアでは、9月20日にマルウェアの検出数が増加した。この増加は「Exploit.MSOffice.CVE-2017-11882」を9月19日と20日の2日間に集中して検出したためだという。

レポートではまた、Facebookのアクセストークン流出事例についても紹介している。9月28日（米国時間）、Facebook社はSNSサービス「Facebook」のプレビュー機能の脆弱性が悪用され、アカウントの認証などに利用されるアクセストークンが流出したと公表した。アクセストークンは認証システムから発行される認証情報であり、Facebookではログイン状態の保持やAPI利用時の認証に利用されている。

今回の事例では、Facebookのプレビュー機能の一部機能に存在する脆弱性が悪用された。プレビュー機能は、ユーザのプロフィールが他のユーザからどのように見えるかを確認できる機能だが、誤って動画投稿機能も提供されていた。この機能に、動画の投稿者に対しアクセストークンを発行する脆弱性があった。攻撃者はこの脆弱性を悪用して不正にアクセストークンを発行し、不正ログインに利用した。その結果、5,000万件近くのアカウントが影響を受けたと報告されている。

レポートではこのほか、「攻撃者グループMagecartによるECサイトの改ざん被害」「Java 11の公開とソフトウェアのサポート期間」「80/tcpを利用したSYN/ACKリフレクション攻撃」について解説している。