共同ネット事業部部長のAです(^^)
またまた娘の話で恐縮ですが、突然娘が「Facebookにログインできなくなった」って言ってきたことがありました。
どうやら、誰かにアカウントを乗っ取られてしまったようでした。すかさずパスワードの再発行機能を使ってアカウントを取り戻し、誰かわからない「友達」は全部削除させました。
またFacebookに登録してあるメールアドレスを、公開しない設定にしました。
とりあえず、それで乗っ取りは防御できたようで、今のところログインできなくなることはなくなりました。
最近、こういう乗っ取りの事例は結構増えているようです。
乗っ取るにはいろんな方法があるようですが、最近は特定の誰かに自分が管理している乗っ取りようのダミーアカウントを3つ友達承認してもらったら、すかさずそれを利用して乗っ取る手法が横行しているようです。
どういうことかというと、パスワードを忘れてしまった場合に、パスワードを再発行する機能というのがあります。このとき再発行の過程で信頼できる友達=「協力してもらう友達」を選んで、その人に本人であると認証してもらえるとFacebookは本人であると認めてパスワードの再発行を許可します。
この機能を利用して、自らが本人になりすまし「協力してもらう3人の友達」を、乗っ取りように承認してもらったダミーアカウントで指定をします。ダミーアカウントは、乗っ取ろうとしている人のアカウントですから、本人であると証明することに「協力」できるわけで、新しいパスワードを手に入れることができ、アカウントを乗っ取ることができるのです。
Facebookのパスワード再発行機能自体に穴があるような気もしますが、現状はこういう仕様なので致し方ありません。
こういう乗っ取りを防ぐには、どうしたらいいでしょうか?
●Facebookに登録してあるメールアドレスを非公開にする
Facebookはメールアドレスとパスワードの組み合わせでログインしますが、基本情報のところでメールアドレスを公開してしまっていると、あとはパスワードがわかればいいだけになります。
なので、まずメールアドレスを知られないようにすることが必要です。
基本データ編集画面から、「連絡先情報」の編集画面でメールアドレスの公開を「自分だけ(カギマーク)」にしてしまいましょう。
●誰かわからない人の友達申請は認めない
基本は、会ったことも話したこともない、素性のわからない人の友達申請は受け付けないことです。
友達申請できる人も「友達の友達まで」などにして限定しておくのもよいかと思います。
最近では、実際の友達や知り合いの名前が、アルファベット表記になったアカウントから申請があることが多発しているようです。
例えば「山田太郎」という友達がいたとき「Taro Ymada」という人から申請が来るという具合。
自分のFacebook上の友達が誰なのかというのを、友達以外の人でも見られるようにしておくと、その友達や、友達の友達の名前を語って申請することができてしまいます。
ここで変だなと思っても、知っている名前なので何気なく承認してしまうと、それがダミーアカウントだったりします。
また申請をもらった相手のアカウントは、面倒でも一度そのアカウントのページを見に行くようにすることも大事です。
ダミーアカウントの場合は、たいてい何の投稿もされていないし、基本情報も殆ど情報がありません。
私の経験からいうと、サッカー日本代表のFacebookページだけが「いいね!」されているケースが多いです。
相手のアカウントページを見てみて、誰かわからないのであれば承認を削除してしまってもいいと思います。
●あらかじめ「信頼できる連絡先」を設定しておく
念には念を入れるのであれば、Facebookのアカウント設定のセキュリティ設定で「信頼できる連絡先」をあらかじめ設定しておくことができます。
ここを設定しておけば、乗っ取ろうとした人がダミーアカウントを使うことができなくなり、パスワードの再発行を阻止することができます。
こんなことまで考えないといけないのは正直面倒な気もしますが、乗っ取られてしまってからでは遅いし、友達にも迷惑がかかるので対策はしておいた方がいいと思います。