世界最大のユーザー数を誇るSNSであるFacebook。実名登録が基本なサービスでありながらも、日本国内でも多くのユーザー数を抱えている。しかし、そうしたリアルの人間関係を反映するがゆえの懸念事項も少なくない。この記事ではFacebookアカウントが乗っ取られた場合の被害や乗っ取りを防ぐための対策を解説する。
Facebookアカウントが乗っ取られるとどうなるのか?
これまでも数多く発生しているSNSの乗っ取り。スマートフォン(以下、スマホ)の利用増加に呼応して増大傾向にある。ニュースメディアなどでも報じられているように、TwitterやLINE、Instagramだけでなく、世界で最大の登録者数を誇るFacebookにも同様の被害が発生している。攻撃者によってFacebookのアカウントが乗っ取られた場合に生じる被害例を以下に紹介する。
なりすまし
アカウントを乗っ取った攻撃者が所有ユーザー当人になりすます。そして、友だち(Facebookでつながっているユーザー)になりすましてフィッシング詐欺を目論むスパムメッセージを送りつけてしまう。あるいは、ソーシャル・エンジニアリングの一環として過去の投稿を洗いざらい収集されてしまう可能性もある。密かにアクセスされてしまうことで、アカウントのユーザー当人が気づかない恐れもある。また、プロフィールを書き換えられるといった被害を受けることも想定される。
個人情報の流出
Facebookにはユーザーに関連する個人情報が数多く記録されている。乗っ取られたアカウント内の情報に加え、友だちの「友だち限定で閲覧可」としている情報を収集される可能性も否定できない。Facebookは実名登録が基本であるため、氏名、生年月日、住所、出身大学、過去の所属企業、趣味・嗜好などの情報は攻撃者にとって価値が高いのだ。また、チェックインした場所や参加コミュニティなどもチェックできるため、攻撃者にとって攻撃を行うための情報が入手しやすい。
金銭的な被害
乗っ取ったアカウントを悪用し、偽商品を売りつけるなどして、金銭を詐取することも考えられる。有名なサングラスメーカーを偽装した例は日本国内でも大流行した。また、現時点で国内では非対応ながら、Facebook Payという決済サービスも存在する。仮に国内でサービスが開始された場合、アカウントが乗っ取られることで、勝手に送金されてしまうといった被害が発生する可能性も否定できない。
アクセストークンの窃取
FacebookではOAuth(オーオース)と呼ばれる技術を用いて、ほかのサービスへもFacebookアカウントでログインが可能だ。「ソーシャルログイン」とも呼ばれるこの機能を悪用して、ほかのサービスへの勝手なログイン、あるいはログイン先のサービスを悪用する可能性がある。また、この連携しているサービスが悪用されることで、金銭的被害が生じるケースも考えられる。
使い回しているパスワードの窃取
ほかのSNSやサービスのアカウントを登録する際に、Facebookと同じメールアドレス・パスワードを使い回していた場合、そのSNSやサービスのアカウントも乗っ取られてしまう可能性がある。
Facebookの乗っ取りを防ぐための対策
乗っ取りを防ぐために、現時点で最も効果的な手段は、二段階認証(2FA)の導入だ。二段階認証とは、従来からのID・パスワードに加え、ログイン時に別の要素で認証する仕組みだ。Facebookでは以下3つの方法の二段階認証を利用可能だ。
ハードウェアトークンの利用(Universal 2nd Factor(U2F)またはFIDO2セキュリティキー)
U2F・FIDO2セキュリティキーとは、セキュリティレベルを強化するためのハードウェアだ。キーのタイプには、USBポートやLightningポートに挿入して使用するもの、BluetoothやNFCなどの技術でコンピューターやモバイル端末と通信するタイプのものがある。
サードパーティ製認証アプリの利用(Google AuthenticatorやLastPass Authenticatorなど)
スマホのアプリとしてワンタイムキーを生成してくれる認証アプリを利用する方法だ。設定をオンにすることで、新しいデバイスまたはWebブラウザーからログインしたのが正規のユーザーであることを確認するためのセキュリティコードをスマホで生成し、確認用に使用できる。
スマホのSMS、テキストメッセージへ送信されたワンタイムパスワードの利用
スマホに届くSMSを利用する方法だ。過去にFacebookが認識していないモバイル端末やWebブラウザーからログインする際、6桁数字からなるセキュリティコードが記載されたSMSがアカウントで指定したスマホに届く。そのセキュリティコードを入力することでログイン可能となる。
また、万一不正アクセスされた際に備えて、以下のような対策も講じておきたい。
ログインアラートの設定
Facebookが認識していないモバイル端末やWebブラウザーから第三者がログインを試みた際に、そのアカウントでログイン中のモバイル端末・Webブラウザーにアラートを通知する機能だ。仮に、ログインに覚えがない場合は「私ではありません」を選択することで、不正な乗っ取りを回避できる。
定期的なアクティビティログの確認
不正なログインを見逃さないためにも、「セキュリティとログイン」画面上にある「ログインの場所」は定期的に確認しておくとよいだろう。ログインした際の日時、場所、パソコンやスマホなどの機種名が表示される。仮に憶えのない機種などでアクセスされている場合、個別にログアウトするとよいだろう。
Facebookを乗っ取られないための注意点
Facebookアカウントの乗っ取りはユーザーがいくら注意を払っても生じ得る。さらに、乗っ取りを企む攻撃者は、より巧妙な手口を日々新たに編み出し、攻撃を仕掛けてくる。アカウントを乗っ取られないためにも、絶えず開発される攻撃者の手口を十分に把握しておく必要がある。
知らないアカウントからのリクエストを承認しない
アカウントの乗っ取りを企む攻撃者は当該ユーザーとの接触機会を探している。その第一歩として友だちリクエストを行ってくるのだ。以前は友だち数人の協力を得ることでアカウントを回復する機能が用意されており、この機能が悪用された被害が過去に発生している。今後もFacebookのユーザー間のつながりを強化するための機能を攻撃者が悪用する可能性も否定できない。また、最近では、「ロマンス詐欺」と呼ばれる、恋愛関係、友人関係につけ込み、金銭や価値ある物品・情報を詐取する詐欺行為も増えている。
知らないアカウントからのメッセージは無視する
アカウント宛にショート動画を添付したダイレクトメッセージが送付されてくる。この動画はアカウントの奪取を狙うもので、この添付された動画をクリックしてしまうと、偽装したFacebookログインページに誘導される。ユーザーが誤ってこのログイン画面に正規のログインIDとパスワードを入力してしまうと、攻撃者へ入力したアカウント情報がわたってしまう。二段階認証を設定していなければ、アカウントはそのまま乗っ取られてしまうことになる。
Facebookで発生している「偽機能」という罠
Facebookでは悪意あるWebサイトへ誘導して、「フィッシング詐欺」を目論むケースが散見される。最近、懸念されているのが善意を装った詐欺手法が流行の兆しを見せていることだ。例えば、攻撃者がFacebook運営関係者になりすまし、「誰かがあなたのアカウントにログインしたかもしれない」、あるいは「パスワードがリセットされた」などと危機感を煽って、ログインページへ誘導する。誘導された先のログインページは攻撃者が事前に用意した偽のログインページだ。ここでメールアドレスやパスワードなどのログイン情報を入力してしまうと、攻撃者がそのアカウント情報を得てしまう。
ほかにも、Facebookの新機能を装って乗っ取りを試みるケースも確認されている。これは過去、国内の有名なSNSで実装されていた「足あと」機能がFacebookに実装されると偽るものだ。このケースでは、最初に「あなたのプロフィール画面には本日(XX)人が訪問しました」といった内容が表示され、偽装したデモ画面へ誘導する。そして、「さらに詳しく見たい方はこちら」という文言で、またしても偽装したログインページへと誘導し、アカウント情報の入力を促す。ここで、ユーザーがID・パスワードを入力した場合、適当な数字が表示される。と、同時にアカウント情報は攻撃者の手にわたってしまう。
Facebookに限らず、SNSをはじめとしたコミュニケーションツールでアカウントを乗っ取られてしまうと、自らにも大きな被害が生じる。加えて、自身の友人や知り合いにも被害や影響を及ぼしてしまう点は強く認識しておくべきだろう。最悪の場合、友人・知り合いに金銭的・精神的な被害が生じることも考えられる。
Facebookの場合、ユーザーが社会人であれば、取引先の関係者とつながっていることもあるだろう。そうした場合、業務にも悪影響を及ぼしかねない。そうした事態を未然に防ぐためにも、適切にセキュリティ対策を講じるようにしておきたい。
