数あるSNS(ソーシャルネットワークサービス)の中で、Facebookは実名を登録してSNSを楽しむサイトです。にもかかわらず、日本では偽名登録が諸外国に比べて圧倒的に多いと言われています。この偽名登録者のログインを防止するため、Facebookはアカウントロック機能を働かせ、偽名登録者と判断された人のログインをブロックする場合があります。アカウントロックがかかった人の多くは、個人の本名を使わず、お店の名前で登録したり、ニックネームで登録したりしている人たちです。本人でなないと判断し、アカウントロックされる可能性のある行動とは、具体的には、普段とは違う所や端末でFacebookにログインしたり、1日にたくさん友達申請している場合など異常な行動、お店の名前や偽名を使ってアカウントを作成していた場合など不正な行動として判断された場合などが考えられます。
Facebookには、アカウントロックに対する救済措置として、「友達の助けを借りる」という機能が用意されています。友達3人に向けて「セキュリティコード」が送信され、それらが入力されれば本人確認とみなし、再びアカウントにアクセスできるようになるのです。しかし、この一見便利な機能が、アカウント乗っ取りの手段として悪用される可能性があり、これがセキュリティー上の大きな問題となっています。3つ以上の「なりすましアカウント」を友達として承認してしまい、さらにFacebookに登録しているメールアドレスを知られてしまうと、「セキュリティコード」を使って登録メールアドレスとパスワードが変更され、アカウントが乗っ取られてしまいます。アカウントが乗っ取られると・・・。自分が入力した情報や自分の友達が自分に対して表示している情報も見られてしまう。アカウントに自分のクレジットカードやPayPalアカウントを紐付けている場合、それらを使用されて課金が行われてしまう。アカウントが乗っ取られたという事実を知らない友達にも被害が及ぶなど、いろいろな被害が想定されます。
Facebookのアカウント乗っ取り被害に対し、国の情報セキュリティの番人ともいえる独立行政法人情報処理推進機構(IPA )は、情報セキュリティの2013年11月の呼びかけとして、「 SNSの友達申請に注意!(Facebookで乗っ取り被害に遭わないために) 」をホームページで公開しています。
---近年、“Facebook”、“Google+”、“mixi”などのSNS、“Twitter”などのミニブログサービスが人気です。これらのサービスは、同じ趣味や考えを持つ利用者同士の交流の場として活用できることや、いま現在の自分の行動や考えを簡単に発信できることが特徴となっており、多くの利用者を集めています。その一方で、これらのサービスが悪意ある者から狙われるようになりました。IPAの安心相談窓口にも「第三者に自分のSNSアカウントが不正ログインされ、勝手に投稿された」、「不正ログインされ、自分になりすまして友達申請された」といった相談が続いており、特にFacebookに関する相談が多い状況です。実際に、Facebookにおいてアカウントを乗っ取られたという相談は2013年7月から9月に4件寄せられています。 情報セキュリティの一部の専門家の間では、2年ほど前から、Facebook の偽アカウントを3つ用意して乗っ取りに用いる方法が話題となっていました。それに対して、Facebook社は「信頼できる連絡先」機能で対策を講じていますが、利用者がうっかりしていると、依然として同じような方法で被害に遭う恐れがあります。そこで今月の呼びかけでは、乗っ取られた場合の被害例とともに、3つの偽アカウントを用いる仕掛けと、それを防ぐための注意点を解説します。---(ホームページの内容をそのまま引用)
以下は、IPAが呼びかけている3つの偽アカウントを用いる仕掛けと、乗っ取り被害を防ぐための注意点です。
悪意ある第三者は3つの偽アカウントを作成し、以下の手順で、これらをあなたの「信頼できる連絡先」に設定させようとします。
①手順1:偽アカウントを使ってあなたと「友達」関係になる
悪意ある第三者は、3つのアカウントから、あなた(Aさん)に対して友人申請をします。あなたが友人として承認します。その結果Aさんのアカウントは、3つの各偽アカウントとFacebook上で「友達」関係になり、次のステップ(手順2)に移ることが可能になります。
②手順2:あなたに、偽アカウントを「信頼できる連絡先」に設定させる
あなたがこれらの友人申請を受諾すると、悪意ある第三者は友人となった偽アカウントで、あなたを「信頼できる連絡先」として設定します。すると、あなたのFacebook画面上でブログ添付のような画面が表示されます。その“お返し”として、あなたがそれぞれを「信頼できる連絡先」として設定します。
①注意点1:安易に「友達」として承認しない
Facebookにおける「友達」や、Twitter上で「フォロー」する人が少ないと、サービスを使う魅力が半減するかもしれませんが、確認もせず承認してしまうと悪意ある第三者を簡単に取りこんでしまう恐れがあります。実際に付き合いのある友人から「友達」申請を受け取っても、まず「その人を騙ったアカウントかもしれない」と疑ってください。“実際に付き合いのある人、“見ず知らずの人”いずれの場合でも、そのアカウントのプロフィールや過去の投稿内容を必ず確認して、本当にその人かどうかを確認してから「友達」申請を承認してください。
②注意点2:Facebook上で、「信頼できる連絡先」機能を正しく利用する
Facebookにおける「信頼できる連絡先」機能で、“お返し”程度の理由で安易に自分の「信頼できる連絡先」に登録してはいけません。事前にあなたの身元を保証でき、普段から連絡がとりやすい人のアカウントを設定しておくことが、被害を防止するために有効な対策です。
③注意点3:友達リストを非公開にする
Facebookでは、デフォルトで友達リストが公開状態になっているので、公開範囲を“誰にも公開しない”、“友達にだけ公開する”のどちらかを選択し、参照可能な範囲を限定し、自分で把握するようしてください。Facebook以外にも、SNSによっては友達リストを公開する機能がありますが、公開していると、悪意ある者が、友達リストの内容から共通の知人を推測して、その知人を装って「友達」申請してくる可能性があります。
コメントをお書きください