Facebookトークンとクッキーのセキュリティ：広告運用者が知るべきすべてのこと

Facebook広告アカウントを管理している方——自社アカウントであれクライアントのアカウントであれ——は、不正な手に渡れば予算を流出させ、データを窃取し、広告資産を永久に破壊しかねないアクセス認証情報の山の上に座っています。これは仮定の話ではありません。毎週実際に起きていることです。

広告業界が非公式ツール、アンチディテクトブラウザ、トークン共有ワークフローへの依存を強める中、ほとんどのメディアバイヤーが十分に理解していない巨大な攻撃対象領域が生まれています。このガイドでは、Facebookトークンとクッキーの仕組み、共有時のリスク、そして運用を守る方法を正確に解説します。

Facebookアクセストークンの理解

EAABトークンとは何か、何を制御するのか

サードパーティアプリケーションがMetaの広告インフラと連携するたびに、アクセストークンを通じてやり取りします。これはMetaのAPIサーバーに、誰がリクエストしているか、何を許可されているかを伝える認証文字列です。

広告で最も一般的なトークンタイプはEAABトークンです（プレフィックスはMetaが使用するアプリスコープ付き識別子形式を示します）。EAABsbCS1iHgBAxxxxxxxのような文字列は、以下のことが可能な鍵です：

• すべてのキャンペーンの閲覧と変更 — トークン所有者がアクセスできるすべての広告アカウント
• 予算と入札の変更 — 許容される最大額への日次予算設定を含む
• 請求情報へのアクセス — 決済方法、支出履歴、請求書の閲覧
• オーディエンスデータのダウンロード — カスタムオーディエンス、類似シードデータ、顧客リストのエクスポート
• ビジネスマネージャアセットの管理 — ユーザーの追加・削除、広告アカウントの再割り当て、権限の変更
• Meta Pixelへのアクセス — コンバージョンデータの閲覧、ピクセル設定の変更、イベントデータの読み取り

アクセス範囲は、トークン作成時に付与された権限によって決まります。広告の文脈で最も危険な2つの権限は、ads_management（広告キャンペーンとクリエイティブの完全制御）とbusiness_management（ビジネスマネージャ自体の構造的制御）です。

トークンの種類：階層構造を理解する

すべてのトークンが同じではありません。Metaのトークンシステムには3つの異なる階層があり、それぞれセキュリティ上の影響が異なります：

ユーザーアクセストークン は、サードパーティアプリでFacebook Loginを通じて認証した際に生成されます。これらのトークンは、認可フロー中にユーザーが許可した権限を引き継ぎます。短期ユーザートークンは約1時間で失効します。MetaのAPIを通じて短期トークンを交換することで取得する長期トークンは、約60日間有効です。人間のユーザーの権限をそのまま持つため、最も頻繁に盗まれるトークンタイプです。

ページアクセストークン はユーザートークンから派生しますが、特定のFacebookページにスコープが限定されます。適切に生成された長期ページトークンは無期限になることがあります。つまり、明示的に取り消されるか、ユーザーとページの関係が変わるまで有効です。ソーシャルメディア管理ツールで頻繁に使用されます。

システムユーザートークン はビジネスマネージャ内でマシン間API通信のために作成されます。個人のFacebookアカウントに紐付けられず、失効せず、特定の広告アカウントやアセットにスコープを限定できます。セキュリティの観点からは、システムユーザートークンが最も制御しやすい選択肢です。人間のユーザーに影響を与えずに取り消せ、個人アカウントの権限を持たず、明確な監査証跡を作成します。正規の広告プラットフォームは、個人ユーザートークンの要求ではなく、システムユーザートークンまたはOAuthベースのフローを使用すべきです。

トークンの有効期限と更新メカニズム

トークンはすぐに失効するためリスクが限定的だという誤解がよくあります。実際はもっと複雑です：

• 短期トークン：約1時間の有効期限。傍受されてもリスクは比較的低いですが、アプリシークレットとともに所有していれば誰でも長期トークンに交換可能です。
• 長期トークン：約60日間。ほとんどの広告ツールが使用する標準的なトークンタイプです。60日間の無制限アクセスがあれば、7桁の広告予算を枯渇させるには十分すぎます。
• 無期限ページトークン：取り消されるまで有効。パスワード変更や一部のアカウントセキュリティ操作を経ても持続します。
• システムユーザートークン：失効なし。ビジネスマネージャアセットにスコープ限定。ビジネスマネージャ設定を通じてのみ取り消し可能。

重要なポイント：Facebookのパスワードを変更しても、有効なアクセストークンは無効化されません。トークンが侵害された場合、Facebookのアプリ設定またはビジネスマネージャから明示的に取り消す必要があります。

クッキーベースのアクセス：より深刻な脅威

Facebookセッションクッキーの仕組み

トークンがAPIレベルのアクセスを提供するのに対し、クッキーはそれ以上に危険なもの——あなたが実際にログインしているのと区別できない、完全なブラウザセッションレベルのアクセスを提供します。

2つのクッキーが重要です：

c_user：FacebookのユーザーIDを含みます。それ自体は秘密ではありませんが（ユーザーIDは半公開です）、認証ペアの識別子として機能します。

xs：セッション認証クッキーです。これが実際の認証情報です。c_userと組み合わせると、完全に認証されたFacebookセッションを表します。両方のクッキーを所持する者は、それらを任意のブラウザにインポートするだけで、即座にアカウントへのフルアクセスを得られます。

クッキーインポートが二要素認証をバイパスする理由

多くの広告運用者が初めて理解した際に驚愕する部分です。クッキーベースのセッションハイジャックは、二要素認証を完全にバイパスします。

理由はこうです。二要素認証（2FA）はログイン時のセキュリティ措置であり、新しいセッションを作成する際にあなたの身元を確認します。しかし、誰かがc_userとxsクッキーをインポートした場合、新しいセッションを作成しているのではなく、既存の認証済みセッションを再開しているのです。Facebookの視点からは、これはあなたが新しいブラウザタブを開いたのと同じに見えます。セッションはあなたが最初にログインした際に2FAで検証済みです。

これが、アンチディテクトブラウザやクッキーインポートツールが非常に危険な理由です。ログインプロンプトをバイパスしているだけでなく、あなたの完全な認証済みアイデンティティを引き継いでいるのです。クッキーを持つ者は以下のことが可能です：

• ビジネスマネージャにリンクされたすべての広告アカウントへのアクセス
• ビジネスマネージャ設定の変更（ユーザーの追加、アセットの再割り当て）
• アカウントのセキュリティ設定の変更（2FAの無効化、メール/電話番号の変更）
• Messengerの会話とページの受信箱へのアクセス
• データエクスポートとバックアップコードのダウンロード

クッキーの盗難経路

広告業界で最も一般的なクッキー盗難の手口は以下の通りです：

1. 悪意のあるブラウザ拡張機能：広範な権限を持つ拡張機能は、facebook.comを含むあらゆるドメインからクッキーを読み取ることができます。ユーザーにはクッキーが外部に送信された兆候は一切表示されません。

2. 情報窃取マルウェア：RedLine、Raccoon、Vidarなどのマルウェアファミリーは、ブラウザのクッキーデータベースを特に標的にします。Chrome、Firefox、Edgeなどからクッキーを抽出し、パッケージ化してコマンド＆コントロールサーバーに送信します。盗まれたクッキーはTelegramチャンネルやダークウェブマーケットで大量に販売されます。

3. セッションキャプチャ付きフィッシング：高度なフィッシング攻撃は、Evilginxのようなリバースプロキシツールを使用し、被害者が偽のログインページでログインする際にセッションクッキーをリアルタイムで傍受します。2FA保護されたセッションさえもキャプチャできます。

4. グレーハットツールを通じた自発的な共有：多くの非公式広告ツールは、ユーザーにFacebookクッキーのエクスポートと共有を明示的に要求します。ユーザーはフルアカウントアクセスを渡していることを理解せずに自発的にこれを行います。詳しくはグレーハットFacebookツールの仕組みの分析をご覧ください。

AdsPower Chrome拡張機能ハッキング事件：ケーススタディ

何が起きたのか

2024年1月、アフィリエイトマーケティングとメディアバイイング業界で最も広く使われているアンチディテクトブラウザの一つであるAdsPowerが、Chrome拡張機能を通じたサプライチェーン攻撃を受けました。この事件は、ブラウザレベルの深いアクセスを持つツールに広告関係者が過度の信頼を置いた場合に何が起きるかを如実に示しました。

攻撃は侵害された拡張機能アップデートを通じて展開されました。AdsPowerのChrome拡張機能はアンチディテクトツールとして機能するために広範なブラウザ権限を必要としていましたが、悪意のあるコードを含むルーチンアップデートを受け取りました。ユーザーはすでに拡張機能に広範な権限——すべてのウェブサイトへのアクセス、クッキーの読み取りと変更の能力、ウェブリクエストの傍受能力——を付与していたため、悪意のあるアップデートは追加の権限プロンプトを一切発生させませんでした。

技術的メカニズム

注入されたコードは暗号通貨ウォレットとのやり取りを特に標的にしました。ユーザーがブラウザベースの暗号ウォレット（例えばMetaMask）でトランザクションを開始すると、侵害された拡張機能はトランザクション署名リクエストを傍受し、送金先ウォレットアドレスを攻撃者が管理するアドレスに静かに書き換えました。ユーザーは画面上で正しいアドレスを確認しますが、実際のブロックチェーントランザクションは別のウォレットに送金されます。

攻撃が検出され拡張機能が撤去される前に、推定470万ドルの暗号通貨が盗まれました。

なぜこれが広告運用者に重要なのか

AdsPowerのハッキングは、すべてのメディアバイヤーに以下の3つの理由で関連しています：

第一に、アンチディテクトブラウザの拡張機能が高価値の攻撃対象であることを実証しました。これらのツールは設計上、最も侵襲的なブラウザ権限を必要とします。クッキーの変更、ブラウザフィンガープリントの改ざん、リクエストの傍受、スクリプトの注入が必要です。まさにその同じ権限が、理想的な攻撃ベクトルとなるのです。

第二に、何百万人もの人々が信頼するツールでもサプライチェーン攻撃によって侵害され得ることを示しました。今日ツールのコードを監査しても、明日の自動アップデートで侵害される可能性があります。攻撃対象領域は静的ではありません。

第三に、リスクが広告に限定されないことを証明しました。広告運用にアンチディテクトブラウザを使用している場合、そのブラウザ環境で行うその他の機密活動——銀行取引、暗号通貨、メール、その他のビジネスアカウント——もすべて露出しています。ブラウザフィンガープリントを管理する同じ拡張機能が、銀行のクッキーを読み取り、メールセッションをキャプチャし、ブラウザ内の認証済みサービスにアクセスできるのです。

公式OAuthとトークン抽出：根本的な違い

OAuthの仕組み（安全な方法）

正規の広告プラットフォームがMeta広告アカウントへのアクセスを必要とする場合、MetaのOAuth 2.0認可フローを使用します：

1. プラットフォーム内で「Facebookで接続」をクリック
2. Metaの公式ドメイン（facebook.com）にリダイレクト
3. アプリが要求している権限が正確に表示される
4. 承認する特定の権限を選択
5. Metaがアプリケーションに直接トークンを発行——ユーザーはトークンを見ることも扱うこともない
6. トークンは承認した権限にのみスコープ限定
7. Facebookの設定からいつでもアクセスを取り消し可能

このフローは以下の重要なセキュリティ特性を提供します：

• スコープ付き権限：アプリは承認した特定の権限のみを取得。ads_readのみを許可すれば、アプリはキャンペーンを変更できない
• 取り消し可能なアクセス：Facebookの設定 > アプリとウェブサイトからアプリのアクセスを即座に取り消し可能、トークンは即座に無効化
• 監査証跡：Metaはトークンで行われたすべてのAPI呼び出しを、要求した特定のアプリに紐付けて記録
• 認証情報の非公開：ユーザーはトークンを見ることも、コピーすることも、扱うこともない。Metaのサーバーからアプリケーションのサーバーに直接送信される
• アプリの説明責任：アプリはMetaに登録され、App IDを持ち、Metaのプラットフォームポリシーの対象。不正行為があればMetaはAPI全体のアクセスを取り消し可能

トークン抽出の仕組み（危険な方法）

グレーハットツールはまったく異なるアプローチを使用します：

1. ブラウザでFacebookにログイン
2. ツールがChrome開発者ツール（F12）を開くよう指示
3. アプリケーションタブでクッキーを見つけるか、特定のAPI呼び出しを行う
4. 生のアクセストークンまたはクッキー値をコピー
5. サードパーティツールに貼り付ける

このアプローチにはOAuthの安全特性が一切ありません：

• 権限スコープなし：抽出されたトークンは限定されたサブセットではなく、あなたの完全な権限を持つ
• 取り消しメカニズムなし：ツールは生のトークンを持ち、アクセスの取り消しを試みた後でも保存、共有、使用が可能
• 監査証跡なし：抽出されたトークンで行われたAPI呼び出しは、あなた自身が行った呼び出しと区別できない
• 完全な認証情報の露出：生の認証情報を扱っており、クリップボード、スクリーンショット、安全でないフォーム送信のいずれかの時点で傍受されれば完全なアクセスが可能
• アプリの説明責任なし：ツールはMetaに登録されておらず、Metaのプラットフォーム執行を通じて停止させることができない

広告運用を守る方法

即座に行うべきこと

1. 接続されたアプリを今すぐ監査する。 Facebookの設定 > セキュリティとログイン > アプリとウェブサイトに移動。積極的に使用・認識していないものをすべて削除。ビジネスマネージャについては、ビジネス設定 > ユーザー > システムユーザーで、作成した覚えのないトークンがないか確認。

2. 二要素認証を有効にする。 広告運用に関わるすべてのアカウント——個人Facebookアカウント、すべてのビジネスマネージャ管理者、メールアカウント、ドメインレジストラ——で有効にする。コードには認証アプリ（SMSではなく）を使用。

3. 生のトークン共有を直ちに停止する。 ワークフロー内にアクセストークンやクッキーの抽出と貼り付けを要求するツールがある場合、そのツールはセキュリティ上の負債です。OAuthを使用するプラットフォームに移行してください。

4. ブラウザ拡張機能を確認する。 Facebookにログインするブラウザにインストールされているすべての拡張機能を確認。絶対に必要でない拡張機能を削除。特に「すべてのウェブサイト」へのアクセスや「訪問するウェブサイトのすべてのデータの読み取りと変更」を要求する拡張機能に注意。

5. ブラウザプロファイルを分離する。 Facebook広告のセッションは、個人のブラウジング、暗号ウォレット、銀行取引、その他の機密活動とブラウザプロファイルを共有すべきではありません。広告管理専用のChromeプロファイルを作成してください。

継続的なセキュリティ対策

不正なアクティビティを監視する。 アクティビティログを定期的に確認し、自分が行っていないアクション——特にビジネスマネージャ設定の変更、新しい広告アカウント、覚えのないキャンペーン——がないか確認。Facebookのログインアラートを設定し、新しいセッションアクティビティの通知を受け取る。

IPベースの制限を実装する。 ビジネスマネージャで「全員に二要素認証を要求する」設定を有効にする。システムユーザートークンについては、広告プラットフォームがサポートしている場合、APIアクセスを特定のIPアドレスに制限する。

認証情報を定期的にローテーションする。 システムユーザートークンは少なくとも四半期ごとにローテーション。長期トークンは定期的に確認・再生成。チームメンバーの退職やツールの廃止時には、関連するすべてのトークンを直ちに取り消す。

個人トークンよりシステムユーザートークンを使用する。 可能な限り、API統合にはビジネスマネージャでシステムユーザーを作成する。APIアクセスを個人アカウントから切り離し、きめ細かい権限制御を可能にし、人間のユーザーに影響を与えずに取り消しを行える。

チームを教育する。 広告アカウントに触れるすべての人が基本を理解すべきです。トークンやクッキーを決して共有しない、未検証のブラウザ拡張機能をインストールしない、常に公式OAuthフローを使用する、不審なアカウントアクティビティがあれば直ちに報告する。

侵害が疑われる場合の対処

トークンまたはクッキーが侵害されたと思われる場合：

1. すべてのセッションから直ちにログアウト：Facebookの設定 > セキュリティとログイン > ログインしている場所 > すべてのセッションからログアウト
2. パスワードを変更：セッションクッキーは無効化されるが、すべてのトークンタイプが無効化されるわけではない
3. すべてのアプリ権限を取り消す：接続されたアプリをすべて削除し、信頼できるもののみを再認可
4. ビジネスマネージャ設定を確認：新しいユーザー、変更された権限、覚えのないシステムユーザーがないか確認
5. 最近の広告アクティビティを確認：不正なキャンペーン、予算の変更、クリエイティブの変更がないか確認
6. ログインアラートを有効にする：認識されないログインの通知を設定
7. Metaサポートに連絡：不正アクセスの証拠がある場合、Meta Business Help Centerを通じて報告

より大きな視点：なぜこれがあなたのビジネスに重要なのか

ここで説明したセキュリティリスクは抽象的な脅威ではありません。正規のツールとグレーハットサービスの境界線が意図的にぼかされている業界の運用上の現実です。トークンを共有するたび、クッキーをアンチディテクトブラウザにインポートするたび、十分に検証していない拡張機能をインストールするたび、あなたは利便性とセキュリティのトレードオフを行っています。

不正なツール使用をMetaが検出した場合に何が起きるかをより深く理解するには、Meta利用規約違反とその結果のガイドをお読みください。また、クローキングやその他の回避技術を現在使用している場合は、2026年のクローキングリスクの分析で、これらの手法の有効期限が急速に終わりつつある理由を解説しています。

生き残り成長する広告プラットフォームは、公式APIアクセス、OAuthフロー、透明なセキュリティ対策の上に構築されたものです。トークン抽出とクッキー共有の時代は終わりつつあります——道徳的な議論のためではなく、財務的・運用的リスクが弁護しがたいものになったためです。