Facebookでアカウント乗っ取りされた場合の推奨回避策、信頼できる友達を頼りアカウント利用再開ができるように設定する

昨今、Facebookで謎のアカウント申請がやってくる事例が多発している。どうも「友達の助けを借りる」機能を使ったアカウント乗っ取りだということらしい。便利な機能なようでやっかいな機能だが、この機能を使ったアカウント乗っ取りの防止の推奨としてFacebookが勧めているのが、これまた同じ「友達の助けを借りる」機能だというからちょっと笑ってしまうが、乗っ取られたアカウントを奪い返す方法の一つということになるのかもしれない(場合によっては無理だと思うが)。まあ、一応やり方を書いておく。


こちらもご参考あれ。

■Facebookで、すでに友達であるはずの同姓同名もしくは一字違いの似ている名前の人から謎の友達承認がやってきた
http://ultrah.zura.org/?p=4319
■またまたFacebookで謎の人から友達申請がやってきた
http://ultrah.zura.org/?p=4581

アカウント乗っ取りについては、最近メディアでもアナウンスされて注意が促されている。またFacebook公認ナビゲーションサイト「Facebookナビ」でも同様の注意が呼びかけられている。

■Facebookでなりすまし友人申請に注意 3人以上承認するとアカウント乗っ取りのおそれも – ITmedia
http://www.itmedia.co.jp/news/articles/1307/09/news118.html

■◆なりすまし・アカウントの乗っ取りにご注意! – Facebookナビ
https://www.facebook.com/fnavigation/posts/682506155111732

いわゆる「謎の同姓同名からの友達申請」のすべてが同じ乗っ取り犯(ということにしておく)によるものとは限らないので、3人からの謎申請を承認してしまったからといって即乗っ取られるとは限らないが、集中的に攻撃されるだろうから直近で3人承認したら、それはかなり危険な状態にあると考えるべきだと思う。

で、これを回避するために「友達の助けを借りる」機能を使うわけだが、これについてはFacebookの公式ヘルプにも手順は記載されている。が、わかりにくい。

以下手順を紹介するが、最初の2ステップは自分から設定する方法(1-aと2-a)と、友達が設定してきたときに気が付いてそこから設定する方法(2-aと2-b)という2通りのルートを紹介する。

(1-a) 自分のタイムラインから、右上の歯車アイコンをクリックしてメニューを出し「アカウント設定」を選択する。

fb01b

(2-a) 右ペインのメニューから「セキュリティ」をクリックする。次は(3)へ。

fb02b

(1-b) 友人が自分を信頼できる連絡先に指定したことに気が付くことがある。「お知らせ」からメッセージを受け取ったときに、これをクリックする。

fb01a

(2-b) ダイアログが表示され、どういう状況のお知らせかが具体的に記載されている。信頼できる連絡先に登録されたというお知らせの意味が書かれてて、さらに「信頼できる連絡先を設定しますか?」と、あなた自身にも促される状態になっている。設定する場合は右下の「信頼できる連絡先の設定」をクリックする。次は(3)へ。

fb02a

(3) ここからは共通作業。セキュリティ設定の「信頼できる連絡先」から、右下の「信頼できる連絡先を選択」リンクをクリックする。みあたらない場合は「編集」をクリックすると欄が現れる。

fb03

(4) 信頼できる連絡先に関する説明ダイアログが表示される。「伝える相手があなたであることを確認する必要があります」というのが分かりにくいが、仮に自分が誰か友達からセキュリティコードを要求されたとしても、メールやDMで安易に送らずTELなどで確認するんですよ、だからあなたもTELで確認されることになりますよ、的な意味合いだと思えばいいだろう。ただし、ここはシステム上規定されていないので、うっかりDMやメールでやりとりしてしまった場合、あなたがアカウント乗っ取りを手助けしてしまう可能性もあるので、TELやケータイメールなどの、本人と確定できる手段を使って作業する必要がある。

fb04

(5) 実際に信頼できる連絡先(友達)を選択する。名前を入力すると友達から候補が抽出される。

fb05

(6) 選択した友達の名前が表示される。名前右側の「×」をクリックすると取り消せる。

fb06

(7) 最低3人、最大5人選択する必要がある。1人もしくは2人しか選択せず「承認」ボタンを押すとエラーになる。

fb07

(8) 3~5人選択したら「承認」ボタンをクリックする。

fb08

(9) パスワードを要求されるので、パスワードを入力し「送信」ボタンをクリックする。

fb09

(10) セキュリティ設定画面に戻る。信頼できる連絡先欄に、アイコン付きで指定した人数の分だけ名前が表示されている。

fb10

(11) 実際に乗っ取られた場合には、以下のURLからアクセスして対応できる(そうだ。私は実施したことがないので、このリンク先の処理がどうなるのかは不明……)。
https://www.facebook.com/hacked

さてこれで設定は以上だが、これがアカウント乗っ取りに有効かどうかは私は疑問である。まあ「ないよりまし」という感じだと思った方がいいかもしれない。

たとえばあなたのアカウントを乗っ取ろうと考えているミスターXがいるとする。
ここで指定した3人の信頼できる連絡先(友人)に、ミスターXはメッセージなどを飛ばして「今は仮に作ったアカウントからアクセスしてます。ホンモノのアカウントを奪い返すので、セキュリティコードをすぐ送り返して!お願い!」と伝えるとする。
この3人とも、メッセージだけでミスターXをあなたと信じてしまった場合、3人ともセキュリティコードをそのままメッセージへの返信で返してしまう。
この時点でアカウント乗っ取りが成立する。

まあ実際には、あなたの指定した信頼できる連絡先3~5人が誰であるかを把握しなければならないので、たやすいわけではないと思うが、ソーシャルエンジニアリングを使われると思わず知られてしまう危険性もある。たとえば同姓同名の偽アカウントの人から「”信頼できる連絡先”の設定ってどうなってる?ちょっと画面キャプチャして(あるいはコピペして)送ってくれない?」とかDMが送られてきて、うっかり信じて送り返してしまったらアウトだろう。オレオレ詐欺が潰えないのと同じように、このソーシャルエンジニアリングというやつはバカにできないのである。クラッカーはエンジニアリングのスキルが高いだけではなく、こうしたスキルも高い。実際、ソーシャルエンジニアリングはクラッキングの主要なテクニックの一つでもある。

さて、仮に乗っ取りされたとして、でもまだ上記の方法(信頼できる連絡先機能)で取り返せるかもしれない。
しかしミスターXがアカウント乗っ取り直後に行うのは、パスワード変更と、まさにこの「信頼できる連絡先」の削除になるだろう。

というわけで、Facebookが推奨するほど確実性が担保された仕組みではない。実際に「アカウントを乗っ取られやすい仕組みを変えるべき」との声も出ているようだ。
一番大切なことは、バレやすいパスワードをつけないことと、安易に友達申請を受け付けないことであろう。特にすでに友達であるはずの人から友達申請がやってくること自体が不自然だと考えておくべきだろう。

Facebookのトラブルをキッチリ解決する本facebook(フェイスブック)が2時間でマスターできる本 (PHP文庫)小さな会社のFacebookページ集客・販促ガイド (Small Business Support)はじめての最新簡単Facebook入門 決定版 (BASIC MASTER SERIES)久松 漬物容器 蓋付半胴瓶 1号 A18小岩井 純水りんご 1.5L×8本

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください