GoPlus、Metaの高危険な設計上の欠陥を公開　復旧機能がユーザーの機密情報を漏えい

ブロックチェーンのセキュリティ会社GoPlusは、6月8日にXで公表し、Metaアカウント復旧機能には重大な危険な設計上の欠陥があると指摘しました。攻撃者はMETAのユーザー名を入力するだけでよく、ログインや認証は一切不要で、ユーザーに紐づいたメールアドレス、携帯番号などの完全なPII（個人の機微情報）を直接入手できます。英紙『デイリー・ミラー』（地鐵報）によると、International Cyber Digestがこの脆弱性を検証済みです。

GoPlusのセキュリティ上の推奨事項

GoPlusが本脆弱性に対して発表したユーザー保護策：

· 公開されたメールアドレス／携帯番号をアカウント復旧の手段として削除するか、変更する

· 該当するアカウントのパスワードを変更し、二要素認証（2FA）を有効化する

· 「アカウント異常」「認証」「パスワードリセット」に関連するメールやSMSを一切クリックしない

· 複数チャネルで確認する：公式ドキュメント、または公式のその他のコミュニティ媒体で情報の真実性を検証する

確認されている脆弱性の影響事例

International Cyber DigestがXプラットフォーム上で投稿して確認した内容は「Metaまた大問題だ。アカウント復旧機能により、ユーザー名だけで完全なアカウントの個人識別情報（メールや電話番号を含む）を取得できる。私たちはこの主張を検証し、複数の著名人のSNSアカウントに該当することを見つけた」というものです。」

影響を受けたことが確認されたアカウントには、マドリードの選手Kylian Mbappé（自身の個人TikTokアカウント情報が漏えい）、Cristiano Ronaldoの妻Georgina Rodriguez、元ホワイトハウスのInstagramアカウント（元々Barack Obamaのもの、フォロワー数が240万超）および元MetaセキュリティエンジニアJane Manchun Wongが含まれます。GoPlusはさらに、脆弱性の存在を検証するため、コミュニティがMark ZuckerbergのMETAアカウントに紐づく個人情報が公開されていると指摘しました。

よくある質問

この脆弱性の具体的な攻撃方法は何ですか？

GoPlusとInternational Cyber Digestの説明によると、攻撃者はMetaのアカウント復旧機能を通じて、標的アカウントのユーザー名を入力するだけでよく、いかなるログイン認証情報や本人確認も必要とせず、そのアカウントに紐づいた完全なPII（メールアドレスや携帯番号を含む）を直接照会できるとのことです。

Metaはこの脆弱性にどう対応しましたか？

報道によると、Metaはその後「問題は解決した」と述べたものの、脆弱性の修正方法、発見時期、影響を受けたユーザー規模についてMetaは公開していません。

この脆弱性はMeta AIチャットボットの脆弱性とどのような関係がありますか？

2つの脆弱性は異なるセキュリティ事案ですが、時期が近いです。Meta AIチャットボットの脆弱性はより早く露呈し、他人のパスワードを変更するために悪用され、約100の高価値アカウントが乗っ取られました。アカウント復旧機能のPII漏えいに関する脆弱性は、今回新たに露呈した設計上の欠陥であり、チャットボットの脆弱性事件の数日後に発生しました。