IPA(情報処理推進機構)は11月1日、Facebookでアカウントを乗っ取られたという相談が複数寄せられているとして、SNSの友達申請に注意するよう呼びかけた。
IPAによると、Facebook、Google+、mixiなどのSNSや、Twitterなどのミニブログサービスで、アカウントが狙われるケースが増えている。アカウントを乗っ取られて不正ログインされ、「勝手に投稿された」「自分になりすまして友達申請された」といった被害相談が続いているという。IPAは、とくに相談が多いFacebookについて、乗っ取られた場合の被害と、悪用される恐れがある機能について解説している。
●Facebookアカウントを乗っ取られた場合の被害
情報を窃取される:プロフィールに書いた居住地・職歴・学歴などの個人情報が盗み見される。メッセージのやり取りも盗み見され、友達に関する情報も知られてしまう。
悪意あるサイトの宣伝や誘導に加担させられる:「いいね!」を勝手にクリックされたり、友達のウォール(掲示板)に勝手に投稿されたり、Facebook上でスパムメッセージを勝手に発信されたりすることにより、悪意あるサイトの宣伝や誘導に加担させられる。
●Facebookアカウント乗っ取りの手口
利用者がパスワードを忘れた場合、Facebookでは「信頼できる連絡先」に登録した友達の助けを借りて、パスワードをリセットすることができる。「悪意ある第三者」は、その「信頼できる連絡先」に、自分が作成した偽アカウントを設定させようとする。それに成功すると、パスワードリセット機能を使ってアカウントの乗っ取りが可能になる。IPAは、その手口を、(1)「友人申請」を受けて安易に承認してしまうこと (2)その友人を「信頼できる連絡先」として安易に承認してしまうこと、の2段階に分けて説明している。この2つの「安易な承認」がなければ、この機能を悪用した乗っ取りは回避できる。
●SNS利用時における注意点
IPAは、Facebookだけでなく、他のSNSでも被害にあわないよう、以下の点に注意するよう呼びかけている。
(1) 安易に「友達」として承認しない
安易な承認によって悪意ある第三者を簡単に取りこんでしまう恐れがある。実際に付き合いのある人でも、見ず知らずの人でも、そのアカウントのプロフィールや過去の投稿内容を必ず確認してから友達申請を承認しよう。
(2) Facebookでは「信頼できる連絡先」機能を正しく利用する
「信頼できる連絡先」に登録するのは、SNS上の友人ではなく、現実社会の友人や知人、家族など、すぐに会ったり電話連絡したりできる人に限る。あらかじめ3人以上の信頼できる人を登録しておけば、この機能を使った乗っ取りの可能性はなくなる。
(3) 友達リストを非公開にする
Facebookでは友達リストの公開がデフォルトになっているので、公開範囲は「誰にも公開しない」または「友達にだけ公開する」を選択しておく。友達リストを公開していると、悪意ある者が友達リストの内容から共通の知人を推測し、その知人を装って友達申請してくる可能性がある。
なお、アカウント乗っ取りを防ぐ方法としては、携帯の電話番号を登録し、セキュリティ設定の「ログイン承認」をオンにしておく、あるいは公式アプリのコードジェネレーター(二段階認証のコード生成アプリ)を使う方法がお勧めできる。詳細は、Facebookヘルプの「追加のセキュリティ機能」を参照いただきたい。
(2013/11/05 ネットセキュリティニュース)
【関連URL】
・2013年11月の呼びかけ(IPA)
http://www.ipa.go.jp/files/000035177.pdf
・追加のセキュリティ機能(Facebook)
http://ja-jp.facebook.com/help/413023562082171/