読者です 読者をやめる 読者になる 読者になる

マネー報道 MoneyReport

マネーにまつわる報道を取り上げ、自分の切り口で切り取り、噛み砕いてお伝えします。

Facebook乗っ取り防御対策!パスワード変更だけではダメ!

スポンサーリンク
あとで読む

Facebook乗っ取られ

お盆の最中に中国人と見られる犯人に、私のFacebookページが乗っ取られました(>_<)
中国語のメールが届き、ログインなどの画面も中国語で表示されたりと

「なんじゃこりゃー(@o@)」

という事態に陥りました。

パスワードも変更されていたので「パスワードの再設定」を選んで、登録しているメールアドレスに仮パスワードを送ってもらってログインして何とかアカウントを取り返して、それまでのパスワードから全然別のパスワードに変更しました。

以後は今のところ新たな不正アクセスは起きていない状況です。

あぁ、そうそう私のFacebookページもさらしておきますね(^^)w

全然人気のないFacebookページですが、よろしくお願いします(^^)/

で、昨日の記事にブコメでご質問を頂いていたので返答させて頂きたいと思います。

id:miz7makiさん
2段階認証を使っていてもアカウントハックされてしまったのでしょうか?そうだとするとかなり恐ろしいことなのですが( ノД`)…

え!?
2段階認証って何ですか?
普通にパスワード設定していただけでした(^o^;

2段階認証について調べてみると・・・

写真やチェックインなどのプライベートな情報を多く載せている方も多いでしょう。また、悲しいことですが不正なアカウント乗っ取りなども横行しています。
そういった不正な行為の被害にあわないために、設定しておきたいのが「2段階認証」です。手元にiPhoneを用意してさっそく設定を始めましょう。


Facebookの「2段階認証」設定&解除方法。iPhoneアプリからできます。今すぐやろう。 | 毎日17時更新!アプリをおすすめするAppBank

ふむふむ。
Facebookの二段階認証ってFacebookに電話番号を登録してスマホにSMSで「確認コード」を送ってもらい、確認コードで「ログイン承認オン」状態に変更します。
次に「ログイン承認コード」が発行されるので、このログイン認証コードが10個ほど表示されるので、ログイン時にパスワードだけじゃなくてこのログイン承認コードも入力しないとログインできなくするというのを指すようですね(^-^)w
もちろん、こんなのやってませんでした(-_-;

早速、設定しました!

f:id:MoneyReport:20150819125009j:plain

2段階認証をやっていなかったからこそ、乗っ取り被害に遭ったのかもしれません・・・。

id:kiratto-lifeさん
Facebookの乗っ取りってどんな方法なんだろう?気になる

パスワードを機械的に入力しまくって突破したのかな~、と思っています。
パスワードは簡単な短い物だったので(>_<)

と、言うわけでとりあえずはFacebookのログインパスワードを変更しましたが、それだけで良いのか、はたまたもっと色々な防御対策があるのかどうか調べてみたいと思います(^^)/

f:id:MoneyReport:20150819124852j:plain

パスワード変更だけではダメ!?

てっきり昨日の段階では

「パスワードも変更したし、もう安全♪」

と思っていました。
ですが2段階認証を未導入だったりと、私の対策だけではほころびが見えてきたので、もう少しきちんとした対策を調べてみましょう!

下記の記事はFacebookアカウントが乗っ取られ12日間にも渡って、奪い奪われた攻防記録になっています。

妻のFacebookアカウントが乗っ取られた話は、以前に少し触れたと思います。
ほとんど使用していないFacebookアカウントが乗っ取られ、中国語のグループにドンドン追加されていたのです。すぐに、グループは退会して、パスワードの変更を行いました。これでもう大丈夫。そう思っていたのですが、そう簡単ではありませんでした。
数日すると、また変なグループに追加されたと言うのです。こうして、妻と私のFacebookアカウント奪還作戦が始まりました。


パスワード変更だけではダメ?
多くのSNSがIDとパスワードでログインします。パスワードを変更しても、IDがわかっているということは、パスワードを機械的に総当たりで試していけば、いつかはログインできるということです。


Facebookの場合、銀行のATMなどと違い、3回続けてログインに失敗したら、アカウントを凍結するという高度なセキュリティではありません。何回でも、パスワードを変えて、試すことができます。そうなると、機械的に総当たりで試すツールなども作れることになります。


IDとパスワードの両方が不明の場合、総当たりで試すにしても、組み合わせが天文学的数字になりますので、なかなか乗っ取りは難しいでしょう。しかし、IDがわかってしまえば、その確率は格段に下がることになります。パスワード変更だけでは、十分に安全という状態にはならないのです。


乗っ取られたFacebookアカウントを取り戻せ。妻と私の12日間戦争 - フリースペースフリースペース

な、なんですと!?
パスワード変えてもダメ?
この方はパスワード変更後にも再び乗っ取られていますから、気を付けないといけないですね(>_<)

確かにID(メールアドレス)が乗っ取り犯側にバレていますから、機械的に総当たりで試すツールとかを利用されてしまえば、時間は掛かるでしょうが、再び突破されかねませんね(;_;)
Facebookはパスワードは何回失敗してもOKな仕様なんですか~(-_-;
それは頂けませんね~。

では一体対策はどうすれば良いのか?

IDとパスワードをセットで変更する
Facebookは、登録してあるメールアドレスがIDとなっています。そのため、乗っ取り犯は、何らかの方法で妻のメールアドレスを取得した可能性があります。登録しているメールアドレスは、フリーメールのアドレスなので、それを変更することにしました。


IDの変更は、Facebookの設定画面から行うことができます。しかし、これだけでは不安なので、色々とネットで調べてみました。すると、意外なことがわかってきたのです。

ふむふむ。
アカウントのIDはFacebookではメールアドレスですね。
このメールアドレスも変更出来たりするんですね!
全然知りませんでした(^^;

ここまでやれば「もう安全♪」という気がしてしまいますが、こちらの方はまだまだやります!

Facebookアカウントの乗っ取り手口
Facebookのアカウントを乗っ取られるのを防止するために、Facebookアカウントを乗っ取る手口を知っておく必要があります。一般的な方法は、Facebookの機能を逆手に取った方法です。


Facebookには、アカウントがロックされた時の救済措置として「友達の助けを借りる」という方法があります。信頼できる友達3人にセキュリティコードを送信してもらい、それを入力することで、本人確認と見なす機能です。


Facebookアカウントの乗っ取り犯は、この機能を逆手に取ります。3つ以上のなりすましアカウントを友達として承認させ、そこにセキュリティコードを送信させて本人になりすますのです。この方法には、3つ以上のなりすましアカウントと、本人がFacebookに登録しているメールアドレスが必要になります。意外とハードルが高いと思うかもしれませんが、油断大敵です。

ゲゲゲ(>_<)
友達3人にセキュリティーコードを送信してもらえば、本人確認できたとしてログイン出来てしまうんですか!?
なんというセキュリティの抜け道を作っているんだ(-_-;
Facebookのセキュリティってもしかしてザルですか?

何でこんな「乗っ取り犯に有利なセキュリティ」になっているんだ・・・orz

なるほど、こんな抜け道があるからこそ見ず知らずの人が友達申請してきても承認しちゃいけないんですね~(-_-;
また友達の名前を使ったなりすまし犯の可能性もあるので、友達の名前で友達申請が来てもきちんと裏付けの取れていない場合には、承認を見送るという対策も必要かと思います。

また乗っ取られた後の対策としては、パスワード変更時に「セッションを終了させる」を選択するのが効果があるようです。
Facebookで言うセッションとはログイン状態の事を指しますので、セッションを終了させる事で自分のアカウントでログインしている全ての端末から一斉にログアウトさせる事が出来ます。
これにより、乗っ取り犯がログインしていても強制的にログアウトさせる事が出来て、新しいパスワードとかを見られる事がなくなります。

というか逆にこれをやらなければ、乗っ取り班はログインしたままなのでまた好き放題やられてしまうので、パスワード変更時には必ず「セッションを終了させる」を選択しましょう!!!

その上で、2段階認証を行えばとりあえずは安心ですか~(^o^;
皆さんも、ご自身のFacebookを乗っ取られないように気を付けましょう!

完全に乗っ取られると・・・

ちなみに調べている途中で、自分のアカウントを乗っ取られて恐ろしい状態になっている方がいたのでご紹介しておきます。

Facebookのアカウント乗っ取りについて
閲覧ありがとうございます。
数年前にFacebookを始めたのですが、しばらく使わないうちにアカウントを乗っ取られてしまったようだと昨日気づきました。


メールをさかのぼって見たら、まず名前を変えられてその後パスワードも変えられていました。
そして昨年9月以降はFacebookからのメールがないのでメールアドレスも変えられしまったようです。
https://www.facebook.com/login/identify?ctx=login をやってみても当然ダメでした。


これってマズいですよね?
削除させたいのですが何か対処法はありますか。
とても困っています。


ベストアンサー
名前を変えられたなら、すでにあなたのアカウントとは言えないと思います
メールが来た時に対処しないで、今遡って見るようでは手遅れです
アカウントを過去の自分のものだとして報告する事は出来ますが、おそらく何も解決しないでしょう


Facebookのアカウント乗っ取りについて閲覧ありがとうございます。 - 数年... - Yahoo!知恵袋

まずはFacebookを乗っ取られた、と。
その上で、IDであるメールアドレスも変更されてしまったようです(>_<)
これをやられてしまうと「パスワードの変更」をしようとしても、この変更後のメールアドレスにパスワードが届くだけで、自分のメールアドレスにはメールが届かなくなるので、もう二度とログインし直すことが出来ないという恐ろしい事に・・・(=_=;)

これをやられてしまうと、自分の名前で好きなように投稿されてしまうので「イヤ~ン、バカ~ン」な投稿「○○を爆発する!」といった過激な投稿までも好き放題やられてしまい、最悪は自分自身の所に警察が来たりしかねません(>_<)

まぁ、この投稿の方はIDだけじゃなくて名前も変えられてしまったので、自分自身が訴えられる事はないのかな(^o^;?

ただ他人事じゃなくて、私の場合にもパスワード変更だけだったから良かったですけど、IDのメールアドレスも変更されていれば、もうFacebookアカウントを取り戻す手段が無くなる所でしたから、危なかったですね(-_-;

乗っ取り犯の狙い

また昨日調べていた中では、Facebookアカウントが乗っ取られた後によくやられてしまっている事としては

【Facebook乗っ取り犯の狙い】

  1. 嫌がらせ投稿
  2. 中国語のグループへの追加
  3. 違法サイト紹介

個別に狙いを深堀りしてみましょう!

1.嫌がらせ投稿

身内というか別れた元彼とか元彼女とかに乗っ取られる場合には、嫌がらせ投稿をされる場合が多いそうです。
付き合っていた当時に撮った、相手の裸の写真をアップしたり、過去の悪事を暴露するような事を投稿されたりとかがあるようです(>_<)

他にも恨みを買った友人に乗っ取られて、有ること無いこと書かれたりとかもあるようです(;_;)
怖いのは中国人だけじゃなくて、逆恨みをする近くの人達も怖いものですね(>_<)

2.中国語のグループへの追加

これは何がしたいのかよく分かりませんね(^^;
でも大量のFacebookアカウントを取得して同じ事をやっているとするのならば、業者の可能性が高いのかな、と。
『企業やWebサイトの「いいね!」を増やしますよ』という商売をやっている人達なら、誰でも良いからアカウントを使って「いいね!」しまくるというのはあると思います。

3.違法サイト紹介

これはよく載っていたものでは、偽物サングラスサイトへの誘導が多いそうです。
サングラスで有名なRayBan(レイバン)の偽サイトへ誘導され、「レイバンのサングラスが90%OFFで買えるよ!」とかって怪しいサイトです。

あれ、これって時々Twitterやメールでも飛んでくる奴ですね(^-^;
よくブロックしてますが、Facebookでもこれの宣伝をするのに使われてしまったりするようですね、乗っ取られると。
あ、TwitterでRay-Banのツイートしてくる人って乗っ取られたアカウントなんだ、きっと!
これは気付きませんでした(^^;


このように、乗っ取り被害に遭うと本来のFacebookの使い方とは違う使い方をバンバンされてしまって困ることになります。
しかもFacebookは実名登録が基本ですから、自分自身の名誉を叩き落とされる可能性が有り、友人・知人から

「何だよアイツ、とんでもない奴だったんだな(-_-;」

と誤解をされてしまう可能性が高いです。
アカウントを取り返す事が出来れば良いですが、取り返せない場合は乗っ取り後の書き込みが「真実」として周りの人達に受け取られてしまい、覆せない可能性もありますので、注意が必要です。

Facebookの乗っ取りは他人事ではありません。
次はあなたのFacebookアカウントが乗っ取られてしまうかもしれませんよ?

まとめ

  • Facebook乗っ取られ防御策
    • パスワードの変更時に「セッションを終了」させて一度全員ログアウトさせる!
    • パスワードは長くて分かりにくい物に変更する!
    • 2段階認証を導入しセキュリティを向上させる!
    • 不用意な友達認証をしない!(なりすましが3人寄れば乗っ取られる)
  • 乗っ取られてID(メールアドレス)を変更されると、アカウントを取り返せない(>_<)
  • Facebookは実名と紐付くため、乗っ取られると自分自身の名誉を地に落とす可能性が高い!