世界で1日あたり14億人(2018年3月実績)が利用している「Facebook」は、世界で最も利用されているSNSです。日本でも月間3千万人近くが利用していると言われています。Facebookは、基本的に実名利用をうながしたことで、企業での利用も加速しました。
しかし、実名利用は情報が外部に漏れてしまったときのリスクも高いですし、実際に乗っ取りを試みる攻撃も増えています。とはいえ、仕事でのつながりや何かの時のために緩く繋がっておきたいなど、多少のリスクがあっても利用を続けたい人も多いかもしれません。
ここでは、Facebookの乗っ取りやその対処法、予防策などを紹介します。
1:アカウントを乗っ取られた場合の対処
実名で利用するケースの多いFacebookでは、アカウントを乗っ取られてしまったときの影響が匿名で利用するSNSよりも大きいといえます。
利用者の氏名はもちろん、「友だち」などFacebookでつながっている人たちの情報も実名で知られてしまうためです。事実、サイバー犯罪者が時間とお金をかけて企業などの機密情報を狙う「標的型攻撃」では、Facebookから人間関係を把握すると言われています。
友だちの情報を守るためにも、乗っ取りなどの被害にはなるべく早く気づき、対応策を講じることが大切です。
1-1:パスワードの変更
Facebookを乗っ取られたと思ったときには、まずパスワードを変更しましょう。自分がログインできているのであれば、パスワードは変更されていないと考えられます。パスワードを変更すれば第三者が再度ログインすることを防ぐことができます。
パスワードを変更するには、「セキュリティとログイン」の設定で行います。スマートフォンでは、右下にあるメニューボタンから「設定」→「アカウント設定」→「セキュリティとログイン」とタップします。パソコンでは右上にある「▼」ボタンから「設定」→「セキュリティとログイン」とクリックします。
セキュリティとログインの「ログイン」にある「パスワード変更」を選ぶと、パスワードの変更が行えます。具体的には、「現在のパスワード」を入力し、「新しいパスワード」を2回入力して「変更を保存」をタップします。
・スマートフォン
【手順1】メニューボタンをタップ
【手順2】「設定」をタップ
【手順3】「アカウント設定」をタップ
【手順4】「セキュリティとログイン」をタップ
【手順5】「パスワードを変更」をタップ
【手順6】パスワードを変更する
・パソコン
【手順1】「▼」ボタンをクリックして「設定」を選ぶ
【手順2】「セキュリティとログイン」をクリック
【手順4】パスワードを変更する
1-2:身に覚えのない投稿の削除
自分がした覚えのない投稿は、削除することができます。最近の投稿は「プロフィール」で確認でき、削除もできますが、「アクティビティログ」を確認することで、自分の投稿だけでなく他人の投稿に対する「いいね!」やコメント、シェアなどの記録も確認できます。
身に覚えのない操作は削除できますので、右上のボタンから削除しましょう。
・スマートフォン
【手順1】「プロフィール」画面を表示し、「その他」をタップする
【手順2】「アクティビティログ」をタップ
【手順3】過去の操作が表示される
【手順4】身に覚えのない操作は右のボタンをタップし「削除」をタップする
・パソコン
【手順1】「▼」ボタンをクリックして「アクティビティログ」を選ぶ
【手順2】過去の操作が表示される
【手順3】身に覚えのない操作は右上の「編集する」をクリックし「削除」する
1-3:連携アプリの確認、解除
Facebookを乗っ取られていなくても、Facebookと連携させたアプリが勝手に投稿やシェアをすることがあります。連携アプリによっては高い頻度でスパム投稿やメッセージをくり返すものもあるので、アカウントが乗っ取られたように見えてしまいます。
まずは、現在連携しているアプリを確認し、不要なものは連携を解除します。また、新たに連携を行う場合には、アプリが利用する機能を確認するようにしましょう。連携アプリは、Facebookの場合は「Facebookでログイン」という項目で、設定から確認、変更ができます。
・スマートフォン
【手順1】メニューボタンをタップ
【手順2】「設定」をタップ
【手順3】「アカウント設定」をタップ
【手順4】「アプリ」をタップ
【手順5】「Facebookでログイン」をタップ
【手順6】「アクティブ」から不要と思われるアプリを削除する
・パソコン
【手順1】「▼」ボタンをクリックして「設定」を選ぶ
【手順2】「アプリとウェブサイト」をクリックする
【手順3】「アクティブ」から不要と思われるアプリを削除する
1-4:ログインできないとき
第三者にFacebookへ不正にログインされ、パスワードを変更されてしまうと、自分のアカウントにログインすることができなくなってしまいます。
このような場合には、Facebookのヘルプページから「ログインできません」などで検索すると、アカウントを取り戻すサポートページへアクセスすることができます。
・スマートフォン
【手順1】ブラウザでFacebookのトップページを開き、「ヘルプセンター」をタップする
【手順2】「プライバシーと安全」をタップ
【手順3】「不正アクセスされたアカウントと偽装アカウント」をタップ
【手順4】「アカウントが不正アクセスされたか、何者かが許可なしに使用しているようです」をタップ
【手順5】「こちらのページ」をタップ
【手順6】「アカウントが不正使用された」をタップ
【手順7】アカウント復旧の手続きを開始できる
・パソコン
【手順1】ブラウザでFacebookのトップページを開き、「ヘルプ」をクリックする
【手順2】「プライバシーと安全」をクリックし、「不正アクセスされたアカウントと偽装アカウント」をクリックする
【手順3】「アカウントが不正アクセスされたか、何者かが許可なしに使用しているようです」をクリック
【手順4】「こちらのページ」をクリック
【手順5】「アカウントが不正使用された」をクリック
【手順6】アカウント復旧の手続きを開始できる
1-5:その他
Facebookには、「アカウントへのアクセスの回復をサポートできる親しい友達を選択」という設定項目が用意されています。
これは、アカウントにアクセスできなくなった際に、助けてもらう友達を設定できる機能です。
設定の「セキュリティとログイン」に項目が用意されているので、設定しておくとよいでしょう。ただし、最近の乗っ取りでは、この項目まで書き換えてしまうケースもあります。このため、普段から友達登録の申請が届いたときには、慎重に判断するよう心がけましょう。
・スマートフォン
【手順1】メニューボタンをタップ
【手順2】「設定」をタップ
【手順3】「アカウント設定」をタップ
【手順4】「セキュリティとログイン」をタップ
【手順5】「アカウントへのアクセスの回復をサポートできる親しい友達を選択」をタップ
【手順6】「信頼できる連絡先を選択」をタップして友達を登録する
・パソコン
【手順1】「▼」ボタンをクリックして「設定」を選ぶ
【手順2】「セキュリティとログイン」をクリックする
【手順3】「アカウントへのアクセスの回復をサポートできる親しい友達を選択」をクリックする
【手順4】「友達を選択」をクリックして友達を選ぶ
2:乗っ取りの目的と原因
Facebookアカウントの乗っ取りの目的は、いくつか考えることができます。もっとも可能性が高いのは、サイバー犯罪者による乗っ取りです。アカウントを乗っ取ることで、スパムやフィッシングの投稿を行うことができますし、友達にメッセージを送ることもできます。
Facebookは実名で利用しているケースが多いので、ひとつのアカウントを乗っ取ることで交友関係を知ることができます。また、勤務先の情報は公開されていることが多いので、企業に標的型攻撃を仕掛ける際の社内の人のつながりも把握できます。この場合は情報収集が主な目的といえます。
そして、乗っ取られてしまう主な原因としては以下のようなケースが挙げられます。
2-1:アカウントの使い回し
サイバー犯罪者による乗っ取りは、別のサービスなどから漏えいしたIDとパスワードの組み合わせを、別のサービスで試すケースが多くなっています。多くの利用者はIDとパスワードの管理が煩雑なことから、複数のサービスで同じパスワードを使い回す傾向があるためです。
Facebookのパスワード設定画面でも「他の場所では使用していないパスワード」の設定が推奨されていますが、他サービスとのパスワードの使い回しはしないようにしましょう。
2-2:パスワード攻撃
パスワードリスト攻撃や総当たり攻撃のように、よく使用されるパスワードやパスワード生成ツールなどを使って、ひとつひとつログインを試すケースもあります。
関連記事
最近、多くのサービスではログインに3~5回失敗するとアカウントがロックされる仕様になっているため、これらの攻撃はあまり使われなくなっているようです。ただし、時間をかけて辛抱強く試していくケースもありますので、推測されにくいパスワードや複雑なパスワードを設定しましょう。
2-3:なりすましアカウントの承認
友達などになりすましたアカウントを承認した結果、やり取りしている中でFacebookに登録しているメールアドレスを知られてしまうことがあります。
また、セキュリティコードを使って登録情報を変更されて乗っ取られる、信頼できる友達に承認してもらう機能を悪用されて乗っ取られるといったことが起こります。承認するときは不審な点がないか確認しましょう。
2-4:知人、ストーカーなどの一般人
意外に盲点であるのが、一般の人による乗っ取りです。元恋人や、本人に恨みを持つ人間、ストーカーなどがアカウントを乗っ取り、行動や言動などを把握しようというものです。
この場合はパスワードが推測されることが多く、乗っ取っても投稿やメッセージを行わないため、気づきにくいケースといえます。
3:乗っ取られると何が起こる?
Facebookを乗っ取る犯人は、主にサイバー犯罪者と一般の人に大別できます。サイバー犯罪者は、スパムやフィッシングの投稿を行ったり、メッセージを送ったりします。
また、勝手にスパムアカウントや同業のサイバー犯罪者を友達登録し、スパムやフィッシングを拡大したり、本人になりすまして友達のアカウントまで乗っ取ろうとします。企業を狙う場合には、同僚や上司にメッセージを送り、重要な情報を聞き出そうとすることも考えられます。
これ以外にも、特定の企業や組織などをフォローし、悪意のある投稿を行ったり、逆に悪意のあるFacebookページなどをフォローしてアクセス数を上げ、人気のあるページを装おうとしたりします。さらに、怪しいイベントや投稿にタグ付けをしたり、イベントを立ち上げたりもします。サイバー犯罪者に乗っ取られた場合には、Facebookの機能をフルに活用されると考えた方がいいでしょう。
一方、一般の人に乗っ取られた場合は、目的は行動や情報の把握が中心ですので、投稿やフォロー、メッセージなど目立つ操作はしません。
しかし、本人でないとアクセスできない項目にも、なりすましてログインすればアクセスできます。利用者の行動をモニターしながら、何らかの目的のために情報を集めているのです。
4:Facebookを安全に使うために
Facebookには、利用者を守るための複数の機能が用意されています。これらを活用することで、たとえIDとパスワードを入手されても、ログインする際に気づくことができます。また、SNS共通、あるいはFacebook特有の注意点もあります。
4-1:二段階認証を利用する
Facebookには、いつもと違うパソコンやスマートフォンなどからログインした際には、ログインコードの入力を求められるように設定できます。ログインコードは、あらかじめ設定したスマートフォンの電話番号にSMS(ショートメッセージサービス)として送られます。
このほかにも認証アプリや、USBやNFC接続のセキュリティキー、リカバリーコードなどによる追加認証方法も用意されています。
・スマートフォン
【手順1】メニューボタンをタップ
【手順2】「設定」をタップ
【手順3】「アカウント設定」をタップ
【手順4】「セキュリティとログイン」をタップ
【手順5】「二段階認証を使用」をタップして設定する
・パソコン
【手順1】「▼」ボタンをクリックして「設定」を選ぶ
【手順2】「セキュリティとログイン」をクリック
【手順3】「二段階認証を使用」をクリックして設定する
4-2:普段使わない機器からのログインに通知を受け取る
Facebookの設定から「認識できないログインに関するアラートを受け取る」を有効にしておくと、よく使用するパソコンやスマートフォン以外の機器でログインが行われたときに、通知を受け取ることができます。
通知の方法は、Facebook、Facebookの「Messenger」、「メール」が用意されています。二段階認証のように不正なログインを阻止することはできませんが、自分以外の人によるログインを把握することができます。
・スマートフォン
【手順1】メニューボタンをタップ
【手順2】「設定」をタップ
【手順3】「アカウント設定」をタップ
【手順4】「セキュリティとログイン」をタップ
【手順5】「認識できないログインに関するアラートを受け取る」をタップする
【手順6】通知の方法は、Facebook、Messenger、メールから選べる
・パソコン
【手順1】「▼」ボタンをクリックして「設定」を選ぶ
【手順2】「セキュリティとログイン」をクリック
【手順3】「認識できないログインに関するアラートを受け取る」をクリックする
【手順4】通知方法を設定する
4-3:「友達申請」に注意する
Facebookを使っていると、会ったこともない人から友達申請が届くことがあります。このようなときは、相手のプロフィールをチェックしてみましょう。投稿が2~3しかなく、プロフィールも記載されていないような場合は、ダミーアカウントと考えられます。
ダミーアカウントとは、主にサイバー犯罪者が登録しているアカウントで、友達に登録してもらうことで友達限定の情報やプロフィールなどを見たり、その利用者の友達なども見ることができます。
また最近では、ダミーアカウントであることを気づかれないように、架空あるいは不正にログインした利用者の情報を使って、サイバー犯罪者が詳細なプロフィールを作成するケースもあります。こうしたダミーアカウントは数億あるともいわれています。
プロフィールのない人はもちろん、まったく接点のない人や外国人などは、申請を却下するようにしましょう。
4-4:プロフィール情報や投稿の公開範囲に注意する
ビジネスでもつながることの多いFacebookですので、ついついプロフィール欄に詳細な情報を書き込んでしまいがちです。しかし、友達申請を許可したダミーアカウントの場合は、プロフィールを閲覧できるので注意が必要です。
また、住所や電話番号は記載しないようにしましょう。サイバー犯罪者だけでなく、ストーカー行為を未然防ぐことができるかも知れません。
プライバシー設定には、投稿や情報の設定が意図したものになっているかをチェックできるツールが用意されています。また、設定にある「プライバシー設定とツール」で、公開範囲などを確認しておきましょう。
特に「メールアドレスを使って私を検索できる人」は友達あるいは友達の友達までにしておきましょう。
・スマートフォン
【手順1】メニューボタンをタップ
【手順2】「設定」をタップ
【手順3】「アカウント設定」をタップ
【手順4】「プライバシー」をタップ
【手順5】プライバシー設定には、複数の機能が用意されている
【手順6】プライバシー設定の確認ツール
・パソコン
【手順1】「▼」ボタンをクリックして「設定」を選ぶ
【手順2】「プライバシー」をクリック
【手順3】プライバシー設定とツールが用意されている
4-5:診断系やニュース系のサイト、アプリに注意する
Facebookのタイムラインには、しばしば性格診断や気になるニュースが流れてきます。興味を持って見に行こうとすると、Facebookとの連携を求められます。こうしたサイトやアプリが個人情報を収集したり、勝手な投稿やフォロー、メッセージの送信などを行うことがあります。
2018年3月に、8,700万のFacebookアカウント情報が漏えいして話題になりましたが、この原因もアプリであるとされています。
個人情報の収集を目的とした性格診断やニュースは、他のサービスのものを流用しているケースが多くあります。どうしても気になるようでしたら、その診断のタイトルやニュースの件名などでインターネットを検索すれば、Facebookと連携することなく利用できることも少なくありません。
Facebook連携は、なるべく避けましょう。どうしても使いたいときには、そのサービスのプライバシーポリシーなどを参照し、どのような情報を収集し、何に利用するのかなどを確認しましょう。
4-6:Facebookの情報は漏れるリスクを考慮して予防を徹底する
Facebookでは、利用者の情報を守るための機能を数多く提供していますが、アプリやサイト経由で漏えいすることもあるので、完全に個人情報を保護できるとはいえません。
最近では、「いいね!」ボタンを設置しているホームページに、Facebookにログインしている状態でアクセスすると、ボタンを押さなくても利用者のFacebookに関連する情報が読み取られてしまうことがあり、「いいね!」ボタンを削除するケースも増えています。
逆に、Facebookに書いている情報は「漏れるもの」と考えて、プロフィールや投稿をした方が安全かも知れません。
プロフィールに住所や電話番号、メールアドレスなどの情報を書き込まないことや、投稿の公開範囲を初期設定で「友達」までにすること、定期的にアクティビティログをチェックし、友達にタグ付けされたときは削除することなどに注意すれば、かなり安全に利用できます。
5:まとめ
Facebookは世界でもっとも多くの利用者がいることから、便利な機能が用意されていたり、サードパーティが提供するツールも豊富に提供されています。しかし、同時にサイバー犯罪者の標的にもなりやすいので、その利用には注意が必要です。特に、アカウントを乗っ取られてしまうと、友達にまで迷惑がかかってしまいます。
サイバー犯罪者も、知恵を絞って次々に巧妙なワナを仕掛けてきますから、うっかり騙されてしまわないように注意しましょう。特に狙われるポイントは、友達申請や連携アプリ、友達になりすましたメッセージや投稿ですので、怪しいと感じたときには冷静に判断して距離を置くことも大事です。
Facebookは非常に有用なコミュニケーションツールであることは確かですので、安全に活用していきましょう。
マカフィー株式会社 マーケティング本部
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)