1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPAがFacebookでのアカウント乗っ取りについて注意喚起

IPAがFacebookでのアカウント乗っ取りについて注意喚起

IPAがFacebookでのアカウント乗っ取りについて注意喚起独立行政法人 情報処理推進機構(IPA)は、11月1日、「2013年11月の呼びかけ」を公開し、この中で、FacebookをはじめとするSNSでアカウントの乗っ取り被害に関する相談が複数寄せられたとして注意を呼びかけた。

これによると、FacebookやGoogle+、mixi、TwitterといったSNS上で、悪意ある第三者によりアカウントが狙われるケースが増えている。IPAには、アカウントに不正にログインされ、「勝手に投稿された」「自分になりすまして友達申請された」といった被害相談が続いている。そこで、IPAでは、特に相談が多いFacebookについて、乗っ取られた場合の被害と、悪用される恐れがある機能について解説している。

Facebookにおけるアカウント乗っ取りの手口は、「パスワードリセット機能」を悪用することだ。これは、ユーザーがパスワードを失念した場合の機能で、Facebookでは次の方法でパスワードをリセットすることができる(2013年10月31日現在)。

(1)Facebookに自身が保有するメールアドレス(Gmail, Hotmail, Yahoo! 等)でログインする
(2)自分が「信頼できる連絡先」に登録した友達の助けを借りる

(2)の方法では、本人確認のときに、3人以上の友達から助けを借り、その友達に取得してもらったセキュリティコードを入力するとパスワードをリセットできる。

悪意ある第三者はあらかじめ3つの偽アカウントを作成し、ユーザーに友達申請を行う。ユーザーが3人以上の偽アカウントからの友達申請を承認し、さらに「信頼できる連絡先」に追加してしまうと、上記の機能を悪用される可能性がある。すなわち、悪意の第三者が偽アカウントを用い、当該ユーザーになりすましてパスワードリセット機能を使う。そして、3人の偽アカウントをから取得したセキュリティコードを用いて当該ユーザーのパスワードをリセットし、アカウントを乗っ取るという手口だ。

IPAでは、(1)第三者からの「友人申請」を安易に承認してしまうこと、(2)その友人を「信頼できる連絡先」として安易に承認してしまうこと、という2つの「安易な承認」がなければ、この機能を悪用した乗っ取りは回避できると指摘している。Facebookのみならず、他のSNSでも被害にあわないよう、以下の点に注意するよう呼びかけている。

(1)安易に「友達」として承認しない
(2)Facebookでは「信頼できる連絡先」機能を正しく利用する
(3)Facebookの友達リストを非公開にする

なお、当ブログでもFacebookの「なりすましアカウント」の対策について解説記事を公開している。こちらも参照することをおすすめする。

2013年11月の呼びかけ(IPA)
Facebookでのアカウント乗っ取りに注意〜安易な「承認」は危険(IPA)(セキュリティ通信:So-netブログ)
第5回 Facebook上の「なりすましアカウント」に注意しよう(情報セキュリティブログ)

関連キーワード:

Facebook

IPA

  • アドウェアとは
  • カテゴリートップへ
  • IPAがネット接続のオフィス機器についてセキュリティ上の注意喚起