IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、Facebookにおける乗っ取り被害の手口とその対策方法という身近な話題について紹介している。

急増する乗っ取り被害

多くのユーザーがSNS(ソーシャルネットワークサービス)を利用し、いまでは社会的インフラの一部ともなりつつある。そのSNSにおいて、なりすましやアカウントの乗っ取りなどの相談が急増している。

図1 SNSに関する相談件数(今月の呼びかけより)

図1の通り、Facebookに関する相談が多いのが特徴である。そして、以下のような被害が想定される。

・情報の窃取
・勝手に「いいね!」をクリックされて、悪意あるWebサイトの宣伝や誘導に加担させられる
・友達のウォールに勝手に投稿されて、悪意あるWebサイトの宣伝や誘導に加担させられる
・スパムメッセージを勝手に発信させられる

注意すべきは、被害が自分だけでなく、友人などにも及ぶことだ。

3つの偽アカウントを使った乗っ取りの手口

では、どのようにして、アカウントが乗っ取られるのか?Facebookに限ったことではないが、SNSではユーザーがパスワードを忘れてしまった場合の対策として、パスワードリセット機能がある。2013年10月31日時点で、Facebookでは、次の方法でパスワードをリセット可能である。

・Facebookにユーザーのメールアドレス(Gmail、Hotmail、Yahoo!など)でログインする
・自分が「信頼できる連絡先」に登録した友達の助けを借りる

この2番目の方法が使われる。まず、悪意を持った攻撃者は、3つの偽アカウントを作成する。そして、以下の方法で、偽アカウントをあるユーザー(ここではAさんとする)の「信頼できる連絡先」に設定させる。

1. 偽アカウントを使ってAさんと「友達」関係になる

悪意を持った攻撃者は、3つの偽アカウントから、Aさんに対して友人申請を行う。Aさんは、友人として承認する(ポイント1)。こうして、Aさんのアカウントは、3つの偽アカウントとFacebook上で「友達」関係が成立する。

2. 偽アカウントを「信頼できる連絡先」に設定させる

Aさんが、悪意を持った攻撃者からの友人申請を認める。悪意を持った攻撃者は友人となった偽アカウントで、Aさんを「信頼できる連絡先」として設定する。その結果、AさんのFacebook画面上では図2の画面が表示される。

図2 Facebook上の「友達」が、自分を「信頼できる友達」に設定した際の通知(今月の呼びかけより)

一般的には、この画面で「信頼できる連絡先」として設定してしまうことが多い(ポイント2)。なぜなら、「お礼」や「おかえし」といった感覚がその理由だ。これで、悪意を持った攻撃者のたくらみは完成する。悪意を持った攻撃者は、Aさんになりかわってパスワードリセット機能を使うのだ。

Facebookでは、あらかじめ3つ以上(5つ以下)の「信頼できる連絡先」登録してあると、パスワードをリセット行う際に、その「信頼できる連絡先」から3つの情報を揃えると、本人からの正しいリセット申請であると認証されてしまう。つまり、悪意を持った攻撃者は「信頼できる連絡先」を3つ持っているので、自在に乗っ取ることができてしまう。

一般的には、本人確認は本人のみが知る情報で認証するものだ。Facebookでは、本人が認めた「信頼できる連絡先」を身元保証人として本人の認証を行う方法を認めている。しかし、この身元保証人もSNS上の正しい友人関係を前提としており、このような手口には無力といえるだろう。

過去においては、「友達」のみでパスワードリセットが可能であり、セキュリティの専門家から問題が指摘されていた。そこで、Facebookでは「信頼できる連絡先」を使うようにしたが、同じ結果となってしまう可能性が高い。

乗っ取られないための対策

では、どのような対策があるか。IPAでは、以下の3つあげている。

安易に「友達」として承認しない

「ポイント1」にもあるように、安易に「友達」として承認しないことである。Facebookの利用では、「友達」が少ないとSNSとしての魅力が大きく損なわれる。Twitterなどもフォロワーを増やしたいので、つい確認がおろそかになりがちだ。だからといって、きちんと確認もせず承認してしまうと悪意を持った攻撃者を簡単にグループ内に引き込んでしまう恐れがある。また、実際に付き合いのある友人からの「友達」申請についても、まず「その人を騙ったアカウントかもしれない」と疑うことも重要と指摘する。では、どうするか? 実際に付き合いのある人や見ず知らずの人であっても、そのアカウントのプロフィールや過去の投稿内容を必ず確認して、本当にその人かどうかを確認してから「友達」申請を承認すべきである。

Facebook上で、「信頼できる連絡先」機能を正しく利用する

「ポイント2」の部分である。友人から「信頼できる連絡先」に登録されたと通知があると「ならば自分も」という気持ちで登録してしまうことが少なくない。IPAでは、「おかえし」や「お礼」といった軽い気持ちで自分の「信頼できる連絡先」に登録すべきではないとする。

友達リストを非公開にする

Facebookだけでなく、SNSによっては友達リストを公開する機能がある。悪意を持った攻撃者は、そのような公開された友人リストを狙っている。悪意を持った攻撃者は、友達リストの内容から共通の知人を推測して、その知人を装って「友達」申請してくるのだ(だから、上述のように付き合いのある人といえども確認が必要なのだ)。Facebookでは、デフォルトで友達リストが公開状態になっている。したがって、公開範囲を「誰にも公開しない」、「友達にだけ公開する」のいずれかを選択し、参照可能な範囲を限定し、自分で把握するようにすべきとしている。