米Facebookは15日(現地時間)、2013年1月に高度なセキュリティ攻撃を受けていたことを発表した。同時に「Facebookのユーザーデータが危険にさらされた証拠はない」とも述べている。
|
Facebook Securityより |
今回の発表によれば、一部の従業員がモバイル開発者のWebサイトを訪問した際に、マルウェアに感染。このWebサイトはエクスプロイトをホスティングしており、訪問者のPCにマルウェアをインストールさせるようになっていた。
今回の一件は、JAVAの脆弱性を悪用したゼロデイ攻撃だったことも明らかにしている。JAVAのサンドボックス(保護された領域でプログラムを動作させる仕組み)を回避して、マルウェアをインストールさせるというもの。
調査結果は直ちに米Oracleへ報告され、米Oracleは2013年2月1日(現地時間)に更新プログラム「Java 7 Update 13」をリリースした。
米Facebookは重要なアナウンスとして、「第一に、フェイスブック利用者のユーザーデータが危険にさらされた証拠はない」と、ユーザーデータの無事を表明。同様の攻撃を受けた複数の企業や法的機関とともに、非公式のワーキンググループを組織し、今回の攻撃に関する共同研究を続けていくとしている。
