Facebook、パスワードが盗まれたユーザーに通知する仕組みを導入

　米Facebookは17日、他のサービスなどから盗まれたメールアドレスとパスワードの組み合わせが公表された場合に、Facebookのアカウント情報と照合し、一致したユーザーに対してパスワードの変更を促す仕組みを構築したと発表した。

　最近のインターネットサービスを狙う攻撃では、ユーザー名とパスワードの組み合わせのリストを使ってログインを試みる手法が多く用いられている。こうした組み合わせのリストは、なんらかのサービスから漏えいしたり、攻撃で有効だったものが流通しているとみられ、投稿サイトなどにこうしたリストが掲載されるケースも増えている。

　Facebookではこうした状況を踏まえ、アカウントリストを確認する仕組みを構築。投稿サイトなどに掲載されているリストを確認した場合には、Facebookのユーザーアカウントとパスワードと一致しているかをハッシュで確認し、一致したユーザーに対しては次回のログイン時に警告を表示し、パスワードの変更を促す。

　この仕組みは、2013年10月にAdobe Systemsのアカウント情報が漏えいした際にも有効に機能したが、ユーザーが同じパスワードを複数のサイトで使い回している点が問題だと指摘。ユーザーに対して、複数のパスワードを簡単に管理できるパスワード管理ツールを使うことや、二要素認証の利用、他のサイトで新たなアカウントを作成せずにFacebookのアカウントでログインできる「Facebookログイン」の仕組みなどを使うことを勧めている。