深刻な脆弱性がハッカーによるFacebookアカウント攻撃を助長

Facebookの「賞金稼ぎ」リストのトップに君臨するサイバーセキュリティ専門家、サミプ・アリヤル氏が、このソーシャルネットワークに存在するセキュリティ上の脆弱性に関する情報を発表しました。この脆弱性により、ハッカーは被害者のアカウントを悪用することが可能になります。この問題は2月2日に発見され、修正されましたが、セキュリティ規制のため、公表されたのは1ヶ月後のことでした。

Aryal氏によると、この脆弱性はFacebookのパスワードリセットプロセスに関連し、ユーザーがログインまたは登録した別のデバイスに6桁の認証コードを送信するオプション機能を介して発生します。このコードは、ユーザーを認証し、新しいデバイス（以前にログインしたことがないデバイス）でパスワードリセットプロセスを完了するために使用されます。

クエリ分析中に、Facebook が送信する認証コードは固定されており (数字のシーケンスは変更されない)、その有効期間は 2 時間で、ブルート フォース攻撃 (正しい文字シーケンスを見つけるためにすべての可能なパスワード文字列を試す手法を使用する不正侵入の一種) を防ぐセキュリティ対策が講じられていないことを発見しました。

つまり、コード送信後2時間以内に、攻撃者はFacebookシステムの防御策を一切回避することなく、間違ったアクティベーションコードを何度も入力できることになります。通常、間違ったコードまたはパスワードが規定回数以上入力されると、セキュリティシステムによって疑わしいアカウントへのログインが一時的に停止されます。

2 時間は普通の人にとっては大したことないかもしれませんが、サポート ツールを使用するハッカーにとっては完全に可能です。

攻撃者は、ターゲット アカウントのログイン名さえ知っていれば、確認コードの要求を送信し、ブルート フォース攻撃を 2 時間継続して適用することができます。その結果、新しいパスワードを簡単にリセットし、制御権を奪い、実際の所有者が何かをする前にそのアクセス セッションを「追い出す」ことが可能になります。

NCSの技術ディレクターであるヴー・ゴック・ソン氏は、この種の攻撃はユーザーの防御能力を超えており、「ゼロクリック攻撃」と呼ばれていると述べています。この攻撃では、ハッカーは被害者が何もしなくてもアカウントを盗むことができます。

「この脆弱性が悪用されると、被害者はFacebookから通知を受け取ります。そのため、Facebookから突然パスワード回復に関する通知を受け取った場合、アカウントが攻撃され乗っ取られている可能性が非常に高いです」とソン氏は述べた。専門家は、上記のような脆弱性の場合、ユーザーはベンダーがエラーを修正するのを待つしかないと述べた。

Facebookはベトナムを含む世界中の多くの国で人気のソーシャルネットワークであり、ユーザーは利用中に多くの個人データを投稿・保存します。そのため、ハッカーはしばしばFacebook上のアカウントを攻撃し、乗っ取って不正行為を実行しようとします。

中でも最も顕著なのは、被害者になりすまし、友人リストに登録されている親族に連絡を取り、送金を依頼して金銭を詐取するという手口です。ディープフェイク技術を用いて偽のビデオ通話を装ったこの手口は、多くの被害者を罠にかけました。詐欺師は、より一層の信頼を得るために、Facebookアカウントの所有者と同じ名前の銀行口座を売買することで、詐欺を容易に実行しています。

もう一つの手口は、アカウントを乗っ取り、悪意のあるコードを含むリンクやファイルを送信してソーシャルネットワーク上で拡散することです。これらの悪意のあるコードは、標的デバイス（被害者が使用しているデバイス）で起動すると、個人情報（銀行口座番号、写真、連絡先、メッセージ、デバイスのメモリに保存されているその他多くの種類のデータなど）を攻撃し、盗み出すという役割を担います。