- Bluesky ページを見る (新しいタブで開きます)
- Instagramページを見る(新しいタブで開きます)
- Facebookページで見る(新しいタブで開きます)
- YouTubeページを見る(新しいタブで開きます)
- Twitterページを見る(新しいタブで開きます)
- コピーしました
目次
先日発生したFacebookのアクセストークンハッキングは、単なる不便さではなく、デバイス上でFacebookアカウントへの再ログインを強いられるような事態をはるかに超える、深刻な事態と言えるでしょう。Facebookは現在も詳細を整理し、開発者が攻撃の影響を軽減するための対策を講じていますが、デジタルライフを少しでもコントロールするためにできる3つのことがあります。
まず、Facebook によるハッキングに関する最新の分析を見てみましょう。
Facebookは大きな危機を回避したかもしれない
Facebookは最新のブログ投稿で、攻撃の影響について楽観的な見通しを示している。「攻撃者がFacebookログインを使用してアプリにアクセスした証拠は見つかっていない」とし、「開発者が影響を受けた可能性のあるアプリユーザーを手動で特定し、ログアウトできるようにするツールを開発中」と述べている。
ここ数日、セキュリティ研究者たちがFacebookのハッキングによってアカウントのセキュリティがかなり広範囲に崩壊すると(当然のことながら)予測していた悲観的な意見を述べていたが、それに比べれば、確かにこれは嬉しい話だ。イリノイ大学シカゴ校のコンピュータサイエンス助教授、ジェイソン・ポラキス氏は、包括的な(そして今では非常に多くの参照を集めている)Twitterスレッドで、潜在的な問題をいくつか列挙した。
このツイートは現在利用できません。読み込み中か削除された可能性があります。
このツイートは現在利用できません。読み込み中か削除された可能性があります。
しかし、ハッキングが直接影響を与えた5000万アカウントのデータが、もしアクセスされたとしたら、どのようなデータなのかについては、依然として多くの疑問が残る。ニューヨーク・タイムズのファハド・マンジュー氏が主張するように、Facebookの大規模なセキュリティ侵害は、Facebookをデジタルツールベルトから排除するのに十分である。もはや、このサービスでシングルサインオンは利用できないのだ。
これは典型的な「一つの仕事」の状況です。ブルックリンのアパートの信頼できる管理人のように、Facebookはオンライン上のすべての鍵を預かると申し出ました。この取り決めは便利でした。管理人はいつでもすぐそこにいて、ボタンを押すだけで対応してくれたのです。また、様々なサイトのために何十ものパスワードを作成して覚えておくよりも安全でした。Facebookには、ユーザーの鍵を守るために最高のセキュリティ担当者を雇う経済的インセンティブと評判上のインセンティブがありました。しかし、オンライン上の多くの小規模サイトはそうではありません。もしそれらのサイトがハッキングされ、ユーザーがパスワードを他の場所で使い回していたら、大変なことになります。
しかし、今回の大規模なハッキングによって、そうした議論は霧散しました。もしあなたが鍵を預けていた組織が鍵を紛失した場合、あなたは鍵を別の場所に持ち出すことになります。そして、オンライン上にサインインする方法は、より安全で、同じくらい便利なものが数多くあるのです。」
それは素晴らしいアドバイスだと思いますし、さらに一歩進めてもいいと思います。
Facebook のシングルサインオンを無効にする方法など
まず、Facebookの設定を開いて、「アクティブなアプリとウェブサイト」にあるアプリをすべて削除してください。はい、全部です。きっと気になりませんよ、約束します。
もっと大きな設定も可能です。「設定」の下にある「アプリ、ウェブサイト、ゲーム」セクションで「編集」をクリックし、「オフにする」をクリックします。これで、Facebookアカウントを使って新しいサービスにログインしたくなる誘惑に駆られることはなくなります。もう使えないのですから。さあ、終わりです。
これまでのところどう思いますか?
3つ目の、もう少し極端な対策をお勧めします。Gmailアカウントをお持ちでない場合は、まず登録してください。そして、新しいサービス(例えばTwitter)に登録する際は、そのサービスに別のメールアドレス(例えば[email protected])を入力してください。Googleはメールアドレスのプラス記号とそれに続く部分を無視しますが、Twitterのようなサービスはこれを完全な固有のメールアドレスとして認識するはずです。
ついでに、Facebookのメールアドレスも独自のものに変更するか、[email protected] に変更しましょう。理論上は(これは私の推測ですが)、別のサービスでシングルサインオンを設定したことがない場合でも、攻撃者がアクセストークンを使って別のサービスのアカウント(またはこれから作成するアカウント)に不正アクセスすることが難しくなるはずです。なぜなら、2つのサービスの間に共通のリンクがなくなるからです。
少なくとも、これはジェイソン・ポラキス氏が以前ツイートした内容に対処するのに役立つはずだと私は思う。ガーディアン紙は次のように要約している。
「さらに悪いことに、アプリやウェブサイトでFacebookのサインインを使ったことがなくても、両方のサービスで同じメールアドレスを使っていれば、攻撃者がトークンを使ってあなたになりすましてログインできる可能性がある」とポラキス氏は言う。
これらのサービスにまだアカウントを持っていない場合、攻撃者はトークンを使用してあなたの名前でアカウントを作成し、あなたが最終的にログインするまで休眠状態で待機し、個人情報を盗むことができます。」
LastPassや1Passwordのようなツールを使ってアカウントを管理していれば、どのサービスでどのメールアドレスを使ったかを覚えておくのは難しくないでしょう。(パスワードマネージャーにも2段階認証を設定しましょう。Facebookが直面しているような深刻なセキュリティ侵害に遭わないことを祈りましょう。そうでなければ、私たちは皆、困ったことになります。)
毎日のニュースレター すべてをより良くする準備はできていますか?
ジョーダン・カルフーン 編集長
Jordan とチームから毎日のヒント、コツ、技術ガイドを入手してください。
毎日のニュースレター すべてをより良くする準備はできていますか? Jordan とチームからのヒント、コツ、技術ガイドを毎日お届けします。
次の記事へスクロールしてください
