Last Updated on 2024-10-23 14:57 by admin
2024年2月29日、Facebookに存在した脆弱性が、攻撃者によるアカウント乗っ取りを可能にしていたことが報告された。このバグは、ネパール出身のバウンティハンター、Samip Aryalによって発見され、Facebookによって修正された。Aryalは、Androidのアンインストールおよび再インストールプロセスを調査することから始め、パスワードリセットフローで興味深い反応を複数のユーザーエージェントを使用して発見した。
この脆弱性の特徴は、ログインコードが2時間有効であり、その期間中にリクエストしてもコードが変更されず、誤ったログインコードを試みた場合の検証がないことであった。これらのコードは6桁のみであり、Aryalはブルートフォース攻撃(繰り返しログイン認証情報にアクセスを試みる攻撃)の機会を見出した。攻撃者は任意のFacebookアカウントを選択し、そのユーザーとしてログインを試み、パスワードリセット(パスワードを忘れた場合)をリクエストし、「Facebook通知を介してコードを送信」オプションを選択することで、POSTリクエストを作成し、100,000の可能性を試す方法を使用した。一致するコードが302ステータスコードで応答し、検索が成功したことを確認するリダイレクトを行う。正しいコードを使用してパスワードをリセットすることで、攻撃者はアカウントを乗っ取ることができる。
ただし、アカウントの所有者は、ログインしているデバイス上で通知を見ることになる。通知には2種類あり、1つ目は上記の方法で機能するが、2つ目はアカウントの所有者がその通知をタップする必要があるため、アカウントの乗っ取りがより困難になる。FacebookはAryalに報奨金を授与し、問題を修正した。Aryalは他のバウンティハンターと共に、Facebookおよびその他のプラットフォームをより安全な場所にするために、Metaに数百の報告を提出し、解決に至った。
【ニュース解説】
2024年2月29日に報告されたFacebookの脆弱性は、攻撃者が何もクリックせずにFacebookアカウントを乗っ取る可能性があるというものでした。この脆弱性は、ネパール出身のバウンティハンターであるSamip Aryalによって発見され、Facebookによって修正されました。Aryalは、Androidデバイス上でのアンインストールおよび再インストールプロセスを調査することから始め、パスワードリセットフローにおいて、複数のユーザーエージェントを使用して興味深い反応を発見しました。
この脆弱性の発見は、ログインコードが2時間有効であること、その期間中にリクエストしてもコードが変更されないこと、そして誤ったログインコードを試みた場合の検証がないことが特徴でした。これらのコードは6桁のみであるため、Aryalはブルートフォース攻撃の機会を見出しました。この攻撃方法では、攻撃者は任意のFacebookアカウントを選択し、そのユーザーとしてログインを試み、パスワードリセットをリクエストし、「Facebook通知を介してコードを送信」オプションを選択します。これにより、POSTリクエストが作成され、100,000の可能性を試す方法が使用されました。一致するコードが302ステータスコードで応答し、検索が成功したことを確認するリダイレクトが行われます。正しいコードを使用してパスワードをリセットすることで、攻撃者はアカウントを乗っ取ることができます。
しかし、アカウントの所有者はログインしているデバイス上で通知を見ることになります。通知には2種類あり、1つ目は上記の方法で機能しますが、2つ目はアカウントの所有者がその通知をタップする必要があるため、アカウントの乗っ取りがより困難になります。
この脆弱性の発見と修正は、Facebookや他のプラットフォームのセキュリティを強化する上で重要な意味を持ちます。ユーザーは、パスワードリセットのリクエストが自分によるものでない場合は、その指示に従うことが重要です。また、Facebookログインオプションを使用する際は、個人情報や金融情報を扱うプラットフォームでは使用しないこと、さらに2要素認証(2FA)を有効にすることで、アカウントのセキュリティを強化することが推奨されます。
このような脆弱性の発見と修正は、サイバーセキュリティの重要性を再認識させるとともに、ユーザー自身がセキュリティ意識を高め、自分のアカウントを守るための措置を講じることの重要性を示しています。また、バウンティハンターによるこのような活動は、プラットフォームをより安全な場所にするための重要な役割を果たしています。
from Facebook bug could have allowed attacker to take over accounts.
“Facebookアカウント乗っ取り可能にした脆弱性、ネパールのハンターが発見し修正へ” への1件のコメント
このニュースは、私たちが普段使っているSNSがいかに脆弱性にさらされているかを改めて示していると思います。特に私たちのような若い世代は、InstagramやTikTokなどのSNSを日常的に使用しているので、このようなセキュリティの問題は非常に身近なものです。Samip Aryalさんのように脆弱性を見つけて、それを報告し、修正に貢献する人がいることは素晴らしいことだと思います。彼らの活動によって、私たちユーザーのデータがより安全に保たれることになるので、本当に感謝しています。
しかし、このニュースを聞くと、自分のアカウントがいつ乗っ取られるかわからないという不安も感じます。特に私たち若い世代は、日常生活でSNSを使うことが多いので、セキュリティに対する意識をもっと高める必要があると思います。例えば、定期的にパスワードを変更する、二要素認証を有効にするなどの対策をとるべきだと感じました。
また、このような脆弱性が発見されたときに、速やかに修正されるのは良いことですが、ユーザー自身もアカウントの管理に注意を払うことが大切だと思います。自分のアカウントが乗っ取られないように、セキュリティに関する最新の情報を常にチェックして、必要な対策を講じる