« 2016年12月 | トップページ

2017年3月の1件の記事

2017/03/27

Facebook 乗っ取り

Facebook アカウントを乗っ取られた友人が顚末と対策等について整理してくれた。
許可を得て転載。

私は、LINE の年齢認証で苦労したことがあり、途中まで「それしか手段がなかったのだろう」と疑わずに電話番号を犯人に教えてしまう失敗を。
その次に「LINE の ID を教えてくれ」という意味不明の要求が来たところで、初めて相手が乗っ取られていることに気がつくという失態。
メールだけは二段階認証にしてあったが、これを機に Facebook も二段階にした。

一報:
-------
■乗っ取りの経緯
※届いていたメールやログなどから類推

・17:43パスワードリセットのリクエスト
※この経緯から、パスワードがばれたのではないことがわかる
 ⇒再設定コードが自分宛にメールされるが、犯人は見れないはず
・17:44パワードがリセットされる
 ⇒なぜ、すぐさまリセットできたのかは不明
・17:45犯人のメールアドレスがアカウントに追加される
・17:46メインのメールアドレスが、私のものから犯人のものに変更される
 ⇒以降、アラートメールは私に届かなくなる
 ⇒その後、私のメールアドレスはアカウントから削除された模様
・直後から、Facebookに登録していた友人の方々へ「今忙しい?」というメッセージを送付開始(全員ではない様子)

■メッセージのやり取りについて
・すぐに反応して頂いた方には、以下のメッセージを送付
 「私のLINEが凍結されているから、そちらの携帯電話で検証コードメッセージを受け取ってくれる?」
・続けて、電話番号を聞き出し、
 「検証コードは送信したよ、メッセージの四桁検証コードを見て。」
 「四桁の検証コードをfacebook送信してくれ。」
 と続く。
・「今忙しい?」にすぐに反応されなかった方や、暫くして反応された方には、その後は無応答。
・途中でおかしいと気が付かれて「本人ですか」など聞き返すと、そのうちに無応答になる。

■LINE乗っ取りについて
・上記のやり取りから、犯人はLINEの乗っ取りをしたかったのだと思われます。このような手口のアタックが最近広がっているようです。ググるといくつも事例が出てきます。
・今回、メッセージのやり取りで電話番号や検証コードを送ってしまわれた方が複数いました。本当に申し訳ないです。
 個別に対策等についてご相談させていただきます。
・なお、犯人の馴れ馴れしい口調のせいもあると思いますが、親しい人ほど騙されてしまったという結果になりました。ソーシャルアタックの怖いところだと思います。

■リカバリの経緯
・翌朝に「FBが乗っ取られてませんか」というメールを何人かの方から頂き、ことの次第を自覚。
・ログオンを試みるも、アカウント特定のためにメールアドレスで検索しても、メールアドレスが変更されているために見つからない。
・氏名を入力するとアカウント特定をアイコン画像で行えることがわかり、私は自分の顔写真にしていたので、それで特定。
・パスワードは当然変えられているのでログオンできず。
・「アカウントの安全を確保」というリンクをクリック。
 ⇒アカウントがロックアウトされる
・本人特定のためのプロセスで、自分しか知らない情報を聞いてきた(昔、設定しておいた)ので、それを答えると認証された。
・が、24時間はアカウントをロックアウトするので、24時間後に
 アクセスしろとのメッセージ。
・翌朝、確認したところ無事にログオンできた。
・プロファイルに知らないメールが登録されていたため、削除して自分のメールアドレスを登録。
・FBに乗っ取りリカバリのお知らせと謝罪メッセージを投稿。

■セキュリティ強化
・メールアドレスを自分しか見れないように設定。
・「設定」>「セキュリティ」で下記設定
 「認識できないログインに関するアラートを送信」
 「二段階認証を使用」
・その他、公開していた情報のいくつかを自分だけ又は友人だけに限定

■教訓
・パスワードだけでは守れない
・何重にも対策をしておくべき(実はそれほどの手間ではない)
・アラートは携帯宛にしてすぐに異変に気付けるように(これまでは自宅PCにしていた)
・親しい人からのリクエストも少しでも疑問があれば安易に対応せずに確認するべき

実は、どうやってパスワードリセットができたのか不明なので、これらの対策がどこまで有効かはわからないのですが、少なくとも強化はされたかなと思っています。
-------

パスワードリセットの手法についての追記:
-------
前回投稿したとおり、犯人が即座にFBのパスワードリセットを成功できたのか疑問でしたが、判明したと思われるので共有しておきます。以下のような経緯だったのではないかと思います。

・犯人は私のプロバイダメールのメールアドレスを何らかの手段で入手(FBのプロフィールで公開していたかもしれない)
・私のプロバイダメールのPOPパスワードを推定してログオン(このパスワードはFBの情報と合わせると類推されても仕方ないようなものだった。)
・FBでこのプロバイダメールアドレスをキーに検索して私を特定し、パスワードリセットを要求
・リカバリコードが私のプロバイダメール宛に飛ぶ
・犯人はこれを読んで、即座にFBにリセット要求し、リセット成功⇒FBログオン。
・すぐに、FBの登録メールアドレスを変更

これが今のところ一番あり得る経緯だと思います。
なお、プロバイダメールのPOPパスワードだけではPOPパスワード自体の変更はできない(別途管理画面へのログオンが必要)ため、変更されずに普通に使えている状態でした。そのため、これがクラックされているとは思わなかったという次第です。

今はプロバイダメールのPOPパスワードは変更し、この機会に、他のサイトのいろいろなパスワードも見直し中です。

単独では大丈夫と思っても、複数の情報を合わせるととたんに弱くなる典型ですね。結局は私自身の不注意でした。申し訳ありません。

« 2016年12月 | トップページ