昨年末、私のFacebookアカウントが乗っ取られるという、大変恥ずかしい経験をすることになってしまった!
Facebookは、登録したメールアドレスとパスワードを入力すれば誰でもログインできる。この2つを知られてしまえば簡単に乗っ取られてしまう。
最初の事件は12月27日にはじまったのです。いつものようにスマホのFacebookアプリを利用しようとしたら、「いつもと違う場所でログインの試みがあったため、このアカウントはロックされています」という通知画面が表示された。
早速PCでFacebookのホーム画面にログインしようとしたのですが、パスワードが変更されていてログインできません。パスワードが違っていた(忘れた)場合のために本人性の確認方法がいくつか用意されています。
まず試したのが、秘密のワードに答えるというものでした。今回は8歳まで住んでいたまちはどこですか? という質問でした。 私の基本情報に登録した内容を聞いてきているのでしょうが、どのように登録したのか覚えていないので、「兵庫県」でもだめ、「ひょうごけん」でもだめ、「加古川市」でもだめ、「かこがわし」でもだめ、「兵庫県加古川市」でもだめ、「ひょうごけんかこがわし」でもだめ! あーあ、わかりません。自分が登録した内容を記憶していない自分に腹がたちます! この方法をあきらめました。
次にトライしたのがログインコードを携帯電話のSMSで受けるというもの、ここで携帯電話番号を入力するのですが、個人情報に登録してある連絡先の電話番号と合致しないとだめなようで、何回入力してもNGでした。これは後でわかったことですが、登録してある電話番号が、以前契約していて既に解約している番号が登録されていたのです(もうひとつ、知らない番号も登録されていました?)。
次に試みたのが、自分がタイムラインに投稿したメッセージを、表示されたメッセージのなかから4件選ぶというものでした。3つまでは明らかに自分のだとわかるメッセージなのですが、あと1つがどうもあやふや! えいっ と選んでみたら、みごとハズレでした。これもだめです!
あとは、最後の手段です。一番自信がない友人のプロフィール写真から5人を特定するというもの。間違いは2回しか許されません。ひやひやしながらなんとか5人の特定に成功しました。
無事ログインしてパスワードを変更してやれやれ。ここで連絡先の電話番号も現在契約している携帯番号を設定し直したのはいいのですが、もう1つの知らない番号をそのままにしていたのです。
Facebookのセキュリティ強化の基本は、「ログイン通知」と「ログイン承認」です。
「ログイン通知」を有効にしておくと、新しい環境からFacebookにログインする際に通知がメールで送られてくる。つまり、自分の知らないところで不正にログインが実行されたらすぐに分かるのです。私も「有効」にしていたのですが、後で見てみると確かに通知メール来てました。すぐに確認しなかったのが敗因のようです。
私のように、通知に気づくのが遅れたり、対処が間に合わないといった場合のために、「ログイン承認」という方法があります。「ログイン承認」を有効にしておくと、新しい環境でログインする際に、特別なログインコードの入力が必要となるのです。このコードを携帯電話のSMSで受けたい場合は事前に設定しておかなければならない。この番号が正しくないとなんにもならないのは前述のとおりです。ましてや他人の番号が入っているなんて!!
そして問題の12月29日です。同じ部屋にいた家族へFacebookのメッセンジャーが届きました。「携帯壊れた、携帯番号教えて」という意味のメッセージ。なに?このメッセージ。ということになり、すぐにFacenbookアカウントが乗っ取られたと直感しました。自分ではFacebookが使えない状態なので、とりあえず家族のアカウントから、乗っ取られたので返信しないようとのメッセージを送信してもらいつつ、アカウントの復旧にかかりました。
復旧する間、わかっているだけで3名の方が返信してしまいました。次に「PIN教えて」というメッセージが、これに答えてしまったのが2名。1名は、なんのPINのことだかわからないのでスルー。2名はLINEのPINを送ってしまいました。
案の定、2人のLINEは乗っ取られ、「プリペイドカード買ってきて」という詐欺メッセージが送られたようです。最終的に実害はなかったようですが、私のアカウントが乗っ取られ、それが原因で起こったことなので責任を感じています。
この経緯はFacebookセキュリティーチームへ報告してあります。
今回の乗っ取られた原因を推測すると、パスワードの使い回しが問題と思われます。これもよく言われていますが、まさか自分が・・・ 当事者意識に欠けていました。パスワードは定期的に変更しましょう。また、アカウント毎に違ったアカウントを設定しましょう!
その後、12月31日の深夜、もう少しで年が変わるというときに、犯人は再度Facebookパスワードのリセットを試みてきました。パスワードやメールアドレスを変更してあったので、今回は未然に防げたのですが、それにしても執念深いですね!
2週間程度は監視したほうが良いとのことなので、セキュリティの設定をきちっとやりながら、監視しているところです。
年 | 月 | |||||
2017 | ||||||
1月 | ||||||
2016 | 7月 | 8月 | 9月 | 10月 | 11月 | 12月 |
6月 |