Facebookユーザーの個人情報漏洩、あなたのアカウントは大丈夫?

攻撃者はSMSコードを利用したセキュリティ対策の回避方法を発見しました。攻撃手段は容易かつ安価になっています。

2021年4月、5億3,300万人のFacebookユーザーの個人情報がネット上に流出していたことが判明しました。Facebookは、2019年に修正した脆弱性が原因と発表し、漏洩を認めました。

この脆弱性および情報漏洩は2年前の出来事のため、昔のように感じるかもしれません。しかし今回の進展は、2019年にデータが盗まれたFacebookユーザーが、より大きなリスクにさらされていることを意味しています。リスクから身を守るための迅速な対策が必要です。

一部報道によると、盗まれたデータには、世界中のユーザーの電話番号、Facebook ID、氏名、位置情報、生年月日、経歴、メールアドレスなどが含まれています。日本では、400万人以上のユーザーのデータが盗まれたと言われています。

特に懸念すべき点として、多くのユーザーのメールアドレスと電話番号が流出したことが挙げられます。多くの人は、ログインするために電話番号とメールアドレスを利用しています。つまり、攻撃者が「SIMスワップ攻撃」を試み、SMSコードを自分のデバイスに送信し、被害者のメールにアクセスしようとするリスクが高まるのです。パスワードを忘れた場合、リセットの案内が登録したメールアドレスに届きます。攻撃者がメールアドレスを乗っ取ると、それを利用して他のアカウントへのアクセスも可能になってしまい、効率的かつ効果的に標的のデジタルライフを乗っ取ることができてしまいます。

この「SIMスワップ攻撃」の頻度は近年増しており、実行も容易になっています。

Facebookは情報が盗まれた利用者に対して通知しておらず、被害に遭ったか確認する方法もありません。このため、2019年にFacebookアカウントを持っていた人は、個人情報が盗まれたと考え、保護の手段を講じるべきです。

自分のアカウントを守るためにできる最善策は、メールアカウントへのログイン方法を、パスワードのみ、またはパスワードとSMSコードから、MicrosoftGoogleが提供しているような認証アプリに切り替えることです。認証アプリに切り替えることで、ログインに電話番号が不要になるため、SIMスワップ攻撃のリスクを軽減できます。認証アプリは、メールだけでなく、多くのアプリやサービスで利用することができます。

今回の情報漏洩には、SIMスワップ攻撃の他に、様々なリスクがあります。特に、SMSメッセージを使ったフィッシング詐欺(スミッシング)に注意すべきです。攻撃者は標的の名前、メールアドレス、電話番号を参考に、詐欺メールを作成します。SMSメッセージは多くの場合短く、情報が少ないため、偽物を見分けるのは困難です。SMSメッセージを受信した際には十分に注意して対応してください。

政治家、政府関係者、警察、軍関係者など、攻撃者にとって価値の高い標的で、2019年と同じ電話番号を持っている方は、電話番号やSIMを変更することを推奨します。特に価値の高いターゲットになっている方は、電話番号の定期的な変更も検討しましょう。米国のシークレットサービスでは、トランプ前大統領が市販のスマートフォンを使用していたため、電話番号を定期的に変えていたと言われています。

SMSコードを使ったセキュリティ対策を効果的に回避する方法を攻撃者が発見し、その攻撃手段が容易で安価になってきていることから、認証アプリへの移行はセキュリティ業界で推奨されるベストプラクティスになりつつあります。SMSコードから認証アプリに移行するかどうかではなく、「いつ」移行するかが問題です。今回のFacebookの大規模なデータ流出事件は、多くの人にとって、認証アプリを使う動機になるはずです。

この記事は2021年4月6日に公開されたThe Facebook data leak: What you should do todayの抄訳です。

--> -->