1月に実施した定期的なセキュリティレビューにより、一部の利用者の皆様のパスワードが判読可能な形でFacebookのデータストレージシステム内に保管されていたことがわかりました。通常Facebookのログインシステムでは、パスワードを判読不可能にする技術を用いて、常にパスワードをマスキングしています。すでにこの不具合は修正済みでありますが、影響を受けた全ての利用者の皆様には通知をいたします。

ここで明確に申し上げたいのは、これらのパスワードは社外の誰かが見られるような状態にあったわけではなく、現時点でFacebook社内においても不正使用、および不正アクセスされた証拠は確認されておりません。数億人のFacebook Liteの利用者の皆様、数千万人のFacebookの利用者の皆様、数万人のInstagramの利用者の皆様に通知をすることを予定しています。Facebook Liteとはコネクティビティの低い地域の利用者の皆様に主に使用されています。(4月18日更新: 本リリースにてご報告させていただいた後、判読可能な形で保管されていたInstagramのパスワードの追加の記録を発見いたしました。現在、およそ数百万人のInstagramの利用者の皆様に影響があったと推定しており、これらの利用者の皆様にも通知をする予定です。調査の結果、これらのパスワードは社内においても不正使用、および不正アクセスされていないことがわかっています。)

レビューの過程で、アクセストークンなど他のカテゴリーの情報の保管の方法についても調査をし、見つかった問題について修正をいたしました。利用者の皆様の情報を守ることは最優先事項であり、継続的なセキュリティの取り組みの中で、今後も改善を続けてまいります。

パスワードの保護について
Facebookでは業界標準の措置に従い、利用者の皆様がアカウントを作成する際にパスワードをマスキングすることで、社内の誰も見ることができないようにしています。セキュリティ用語でいう「ソルトを利用したハッシュ化」を行っており、これはハッシュ化する際のパスワードにソルトと呼ばれる付加データを付与し、その後「スクリプト」と呼ばれる機能や暗号鍵を用いてパスワードをハッシュ化することで、実際のパスワードを元に戻すことができないランダムな文字列に変更します。この機能により、パスワードを元の平文の状態で保管することなく、利用者の皆様が正しいパスワードでログインしていることを認証することが可能になります。

利用者の皆様がパスワードを共有したり、再利用したり、盗まれたりすることがあるため、Facebookではアカウントを保護するためのセキュリティ対策を講じてきました。

  • Facebookでは不審なアクティビティを検知するため、様々なシグナルを活用しています。例えば、普段のデバイスやロケーションから正しくパスワードを入力した場合と、誰かが海外で見知らぬ携帯からアカウントにアクセスしようとした場合とでは、Facebookはそのログインを区別して扱います。不審なアクティビティを見つけた場合、追加でセキュリティのための質問をし、その人物が本物のアカウント保持者であることを確かめます。
  • 認識できないログインに関するアラートを受け取ることも可能です。
  • 異なるサービス間で同じパスワードを利用する人もいるため、Facebookは他の組織のデータ流出のアナウンスメントや公に公開された盗まれたログイン情報のデータベースを注視しています。盗まれたメールアドレスとパスワードの組み合わせがFacebook上で使用されているログイン情報と一致しないかと確認し、一致した場合、その利用者が次回ログインをした際に通知をし、パスワード変更を促します。
  • パスワードだけに依存することを防ぐため、アカウントにセキュリティキーを追加することができる機能を発表しました。セキュリティキーを追加することで、コンピューターのUSBドライブに挿入されたハードウェアデバイスをタップするだけでログインが可能です。このような対策はジャーナリストや活動家、政治キャンペーン、著名人などパスワード盗難のリスクが高い利用者の皆様にとっては特に重要です。

アカウントの安全を確保
現時点で、パスワードがFacebook社外に流出し、不正使用された証拠は確認されていませんが、以下の対策で、お使いのアカウントの安全を確保していただくことが可能です。

  • Facebook及びInstagramのアカウントの設定から、パスワードの変更ができます。他のサービスと同じパスワードは避けてください。
  • すべてのアカウントに強力で複雑なパスワードを設定してください。パスワードマネージャーアプリも役立ちます。
  • セキュリティキーの追加、及びサードパーティの認証アプリのSMSやコードを使った二段階認証によるFacebookアカウントの保護を推奨しています。パスワードでログインする際に、本人確認のためのセキュリティコードを要求されます。

Facebookアカウントの安全を確保する詳しい方法は、https://www.facebook.com/about/securityをご覧ください。