独立行政法人 情報処理推進機構(IPA)は1日、 SNSサービスでの"乗っ取り被害"が続いているとして注意を喚起した。特にFacebookに関する相談が多く、2013年7月から9月にかけて4件寄せられているという。

多くのSNSでは、利用者がパスワードを忘れた場合、パスワードリセット機能が提供されている。Facebookでは、10月31日現在、「Facebookに自身が保有するメールアドレスでログインする」「自分が『信頼できる連絡先』に登録した友達の助けを借りる」のどちらかの方法で、パスワードをリセットできる。

「信頼出来る連絡先」とは、Facebook特有の方法で、あらかじめ3つ以上(5つ以下)の「信頼できる連絡先」を登録しておくと、パスワードをリセットしたい時に「信頼できる連絡先」から3つの情報を揃えることで、本人であると認証される仕組み。乗っ取りの手口は、この「信頼出来る連絡先」を利用する。

まず、悪意ある第三者が偽アカウントを3つ以上使いユーザーと「友達」関係になる。そして、偽アカウントで、友達となったユーザーを「信頼できる連絡先」に設定する。すると、ユーザー側のFacebook画面にその通知が表示され、ユーザーがその"お返し"にそれぞれを「信頼できる連絡先」に設定する。

これにより、悪意ある第三者が、ユーザー本人になりすましてパスワードリセット機能を使っても、必要な「信頼できる連絡先」を悪意ある第三者が持っているため、乗っ取りが完了するという。この方法は2013年7月頃にWeb上で話題となり、米Facebookも注意を呼びかけていた。

Facebookで乗っ取られた場合の被害例としては、下記の4点。

  • 情報を窃取される
  • 勝手に「いいね!」をクリックされて、悪意あるサイトの宣伝や誘導に加担させられる
  • 友達のウォールに勝手に投稿されて、悪意あるサイトの宣伝や誘導に加担させられる
  • スパムメッセージを勝手に発信させられる

IPAは、SNS利用時の注意点として上記を踏まえ、「安易に『友達』として承認しない」、「Facebook上で、『信頼できる連絡先』機能を正しく利用する」、「友達リストを非公開にする」といった対応策を呼びかけている。