Facebookは、自社が運営するSNSである「Facebook」と、傘下のSNSである「Instagram」において、数億人の利用者のパスワードを暗号化せず保存していたと発表しました。あわや大惨事となりそうだったこの事件について振り返ってみましょう。
暗号化されていないパスワードを保存していた
2019年3月21日、Facebookエンジニアリング、セキュリティ、プライバシーを担当する副社長であるPedro Canahuatiは、「Keeping Password Secure」というブログを執筆しています。
その内容は、驚くべきものでした。2019年1月のFacebook社内のセキュリティーレビューの結果、合計で数億人にも上るFacebook, Facebook Lite (軽量版Facebook), Instagramの利用者のパスワードが暗号化されずに保管されていたというものでした。さらに、4月に入ってから、Instagramのパスワードのログも暗号化されずに保管されていたことを追加で発表しています。
そして、「FacebookやInstagramの暗号化されていないパスワードは、社内または社外に漏えいしたり、不正にアクセスされた形跡はない」としています。そして、既にこの問題は修正されていると報告を締めています。
世界的大手企業であっても信用できない
暗号化されていないパスワードが、外部からの不正アクセスにより、または内部犯行により持ち去られるという事件は、国内外で10数年前から発生しており、目新しいものではありません。日本国内でも同種の事件は多数発生しています。
今回の事件から得られる教訓は、「GAFAの一員である、Facebookのような世界的なIT企業であっても、パスワードの暗号化という『セキュリティの基本中の基本』の対策すら適切に関していないことがある」という点です。今回、FacebookやInstagramのパスワードが漏えいしなかったのは、単に「運が良かった」だけです。もしユーザーのデータベースにアクセスする権限があるFacebook社内のスタッフが、暗号化されていないパスワードを抽出、漏えいさせていたら、大きな騒動になったことは間違いありません。
ネット上で提供されるあらゆるサービスを利用する際には、たとえそれが世界的な大手企業のサービスであっても、パスワードが適切に管理されていない可能性は十分あると考えておく必要があります。
ネット上のサービスの多くは、セキュリティに懸念を持つユーザー向けの解説文として「当社にとってプライバシーは最重要課題で、個人情報やパスワードは適切に管理されています」といった内容を掲載しています。しかし、サービスの中には「実は適切に管理できていないことを知っていて運用を続けている」場合や、「運営側は適切に管理していると思っているが、実はされていない」ものが多数あります。
万が一パスワードが漏えいしたとしても、漏えいによって生じた損害額を、サービスを提供する会社が全額補填してくれることはありません。よって、自分の身は、自分で守るほかありません。
Facebookが推奨するパスワード管理
Facebookは、今回の漏えいが発覚した後に行った対策として、以下の4つをあげています。
- 普段と違う状況からのアクセスに対しては、追加の質問をする(一般的にリスクベース認証と呼ばれるもの)。
- ログインされるたびに「今、どのIPアドレスからログインしました」という通知を出す設定をする(ログインアラート)。
- 既に他社で漏えいしたメールアドレスとパスワードと同じ組み合わせのものを使っていないかを確認し、もし使っていたら変更を促す。
- ログイン時に物理的なセキュリティキーを利用可能とした。
そして、ユーザーに対しては「アカウントを保護する」ために以下の対策を推奨しています。
- FacebookとInstagramで同じパスワードを使い回さない。
- 強固で複雑なパスワードを、パスワードマネージャーを使って設定する。
- セキュリティキーを利用する。または2要素認証を利用する。
FacebookとInstagramのパスワードを暗号化せずに保存していた事実は残念なものですが、Facebookが行った対策と、ユーザーに推奨する対策はいずれも適切なものです。
簡単そうで難しい「パスワードを使い回さない」
Facebook推奨のユーザーが行える対策は、「パスワードを使い回さない」「強固なパスワードを設定する」「セキュリティキーを用いるか、2要素認証を利用する」となります。
そして、一見簡単そうで難しいのは「パスワードを使い回さない」です。「強固なパスワードの設定」は、設定だけであれば簡単です。そして「セキュリティキー、2要素認証」は、認証のたびに手間にはなりますが、難しいものではありません。これに対して、パスワードを使い回さないというのは、よほど記憶力が良い方でなければ難しいものです。
例えば、FacebookとInstagramでそれぞれ別々の強固で複雑なパスワードを設定した場合、このたった2つのパスワードを覚えるのも困難という人は多いのではないでしょうか。これが、FacebookとInstagramだけでなく、Google、Office 365、Chatwork、Slackなどと増えていくと、事実上覚えているのは不可能といってよいでしょう。よってFacebookでも推奨している通り、パスワードマネージャー(パスワード管理ツール)の利用が望ましいのです。
当社の「トラスト・ログイン」は、個人単位のみならず、企業単位で利用できるパスワード管理製品です。あらゆるパスワードを一元管理できるサービスであるため、どれだけ複雑なパスワードでも記録しておけます。トラスト・ログインの利用により、パスワードの使い回しを回避できます。
トラスト・ログインは、FacebookやInstagramにも対応していますので、企業のマーケティング業務などで、これらのツールを使う際には、ぜひお役立てください。