Facebookのアカウントが乗っ取られる!アカウント乗っ取り対策と再発防止

本日、Facebookのアカントが乗っ取られました。
幸いにもすぐに気付いて対策を講じたので大きな被害はありませんでしたが油断していると大変なことになると思いましたので、注意喚起で記事にします。
先に結論から言うと注意するべき点は当たり前ですが、以下の点。

  • アカウント名、パスワードの使い回しは止めましょう。せめてどちらかは変えましょう
  • 2段階認証が有効なサイトは必ず2段階認証をONにしましょう。
  • ログインアラート機能がある場合はONにしておきましょう。
  • できればメールアドレスをログインIDにしない。
  • 乗っ取れれた時のアカウント回復方法を確かめておく
  • 回復方法が無い場合の連絡先と連絡するべき内容を確認しておく

今回私はいずれもやっておりませんでしたので自業自得です。早い段階で気づいたのは運が良かったからです。

平和な日曜の午後に降ってわいた災難

日曜の午後、妻と家でご飯を食べていると、妻の携帯にFacebookのメッセージ機能でメッセージが届いたようです。

妻:「あんたから、『いま忙しい?』ってメッセージが来たんだけど」

私:「俺は、ここにおるがな。」

妻:「だってほら。」

そう言って携帯を見せる妻。確かに私のメッセージです。
となると、アカウント乗っ取り以外に原因が考えられません。

とりあえずご飯の途中ではありましたが、あわてて部屋のパソコンの方にすっ飛びました。

Facebookは過去のアカウントでもログインできるが・・・

ログイン前に気になった事は、既に犯人によってパスワードが変更されていると、カスタマーセンターに連絡するしかないのか?という事です。
幸いFacebookは過去のパスワードでログインしようとした場合に、乗っ取り対策として、登録メールアドレスにリカバリーコードが送信される仕組みでしたので、過去のパスワードとリカバリーコードで何とかログインできました。

ログインした後は即座に、メッセージを確認しました。
やはりというかなんというか、友達登録している全員に向かって、

「いま忙しい?」

というメッセージを送ってるではないですか。すでに返信している人も何人かいます。

まず、パスワードを変更し、メッセージを送った相手に片っ端から、「今のはアカウントを乗っ取られてのメッセージなので、返信しないでください」とメッセージを送ってる最中に、自分のアカウントから強制切断されました。

なんと、犯人が再び、自分のアカウントを乗っ取り他の端末でログインしている私を強制ログアウトして来たようです。

再び、過去のパスワードでログインしてみてなぜそんな事が出来たのか理解できました。犯人は私の友人と以下の会話をしてました。

犯人:「僕のFecebookのアカウントが凍結されちゃって、そちらの携帯でコードを受け取ってくれない?」

友人:「いいよ」

犯人:「携帯の番号を教えてくれ」

友人:「09-xxxx-xxxx」

犯人:「検証コードを送ったので、4ケタのコードをfacebook送信してくれ」

友人:「xxxx」

犯人:「ありがとう」

こんな感じでまんまと再ログインに成功したようです。

これを見てあわてて、2段階認証をONにしました。

2段階認証をONにした後は、再度乗っ取られる事はなく、落ち着きましたので、改めて友人たちに「いま忙しい?」というメッセージには応答しない様に連絡しました。

ここで恐ろしいと思ったのは、検証コードを友人の携帯を通じてGETする方法は、Fcebookだけでなく、LINEや、google など他のソーシャルネットワークのアカウントでも通じうる事です。
今回は同じFacebookのパスワードを検証コードで再セットされただけでしたが、Lineや、googleのアカウント名を同じにしていると、たとえ2段階認証としていても、この方法でFecebookからLineやgoogleのアカントを乗っ取られてしまいます。特にメールアドレスがアカウントのサイトがヤバい。

この可能性に気づいてしまったので、乗っ取られると被害が大きいと思われる、以下のサイトのパスワードを変更しました。

  • LINE
  • google
  • amazon
  • Yanoo!
  • Twitter

今回は、日曜の昼さがりで私の妻がそばにいてたまたま不審なメッセージに気が付いた事、家にいたのですぐにパソコンで対処できた事などですぐに対処できましたが、これが平日昼間で会社にいる時だったら対処に遅れが出たと考えられますし、クレジットカード情報登録しているサイトなどで、大量発注されたに日は目も当てられません。

繰り返しですが、以下の点は必ずやりましょう。

  • アカウント名、パスワードの使い回しは止めましょう。せめてどちらかは変えましょう
  • 2段階認証が有効なサイトは必ず2段階認証をONにしましょう。
  • ログインアラート機能がある場合はONにしておきましょう。
  • できればメールアドレスをログインIDにしない。
  • 乗っ取れれた時のアカウント回復方法を確かめておく
  • 回復方法が無い場合の連絡先と連絡するべき内容を確認しておく

少しの油断が大変なことになると思い知らされた事件でした。