facebookが乗っ取られた? 有事の対処策と平時のセキュリティーチェック 自分だけではなく家族・友人のため
友人からの変なメールを開いたところ、、、
- ヤバイ、Facebookが乗っ取られた?
- このままでは自分だけでなく、家族・友人にまで迷惑をかける!!!
- ヤバイ!、ヤバイ!どしたらいい???
そんなあなたに向けて書きます。
本日の記事
- まずどうやって自分の危機的状況を認知したか
- 乗っ取り対策#1 パスワード変更がなぜ大切か
- 乗っ取り対策#2 二段階認証はどうスゴイのか
- 乗っ取り対策#3 ログインアラートの大切さ
- おさらい 自分のセキュリティチェック
この記事を読んで分かること
Facebook運用上のセキュリティーがわかります。
Facebookは他のSNSや連絡手段と違い、「実名」で多くの人がつながり合っています。有事の対策もですが、平時の備(=知識)も大切です。これを読んで、自分のセキュリティーを一度復習してみましょう。
また、もしこれで不十分という方がいたら、逆に教えてください。
この記事を書いている私は
数時間前にこの危機に遭遇し、「乗っ取り対策」をしたばかりです。
2022年4月3日時点での最新知識で、実行済みの内容になります。
まずどうやって自分の危機的状況を認知したか
Messengerに「このビデオであなたを見ました。」という連絡が来たのがきっかけでした。
最初の違和感
このリンクを押すと、動画を見るためにFacebookのログインID+PWを求められました。
メッセージの送り主は、私がとても尊敬している友人でITリテラシーも高い人だったので、特に怪しいとは疑わず、動画を見ることに専念しました。
そしてついぞ見れなかったので
「見れませんでした。でも動画 UPに心当たりがないので、違和感です」
と伝えたところ、先方が乗っ取られていたことを知りました。
その時には、既にありとあらゆるPWをトライした後でした。。。
え、ヤバイ。。。 というのがこの時の心情です。
ちなみに、類似事例は多そう
Googleの検索ワードランキングを見ると
「facebook」
によく掛け算される次の言葉は下記のようになっています。
上位9件中、2件が今回と同じ事件を匂わせます。。。
今思えば違和感あり、
メッセンジャーはfacebookのメール機能を外出ししたアプリです。
Facebook=messenger
では、なぜID とPWをわざわざ求めたのか。。。この違和感は大切です。
あと、自分は動画をあげていない。
し、彼もこんなデフォルトめいた文章を送る人ではない。
ので、
答えは削除
開かず、押さず、メールは削除。これが答えでした。
が、過去は取り返せないので、これを開き、パスワードをガンガン入れて、後悔している人に向けて書きます。
ここからが本題です。
乗っ取り対策#1 パスワード変更がなぜ大切か
まずセキュリティー対策の一丁目一番ちはパスワードの変更です。
パスワード変更がなぜ大切か
パスワードを変更すると、変更した機器以外を「強制ログアウト」させることが可能だからです。(選択制)
そして、その瞬間、本当に自分しかログインできない状況を作り出せます。
加えて、FacebookのIDは他の多くのアプリで連携使用されています。
どの機器のどのアプリで転用しているのか、これをおさらいすることも目的の一つです。
パスワードの変更方法(スマホ版)
アプリ右下ボタン 自分の顔のアイコンを押し、
- 「設定とぷライバーシー」
- 「プライバシーセンター」
- 「アカウントのセキュリティー」
- 「パスワードを変更」
と、ボタンとスクロール操作を続けます。
でもでも、この「新しいPW」がハッカーから見られていたら。。。
ということで、もう二つ、対策が続きます。
乗っ取り対策#2 二段階認証はどうスゴイのか
「新しいPW」を使って他の機器からログインしてみましょう。ハッカーになったつもりで、自分を試すのです。
二段階認証とは外部発行のワンタイムPW
本当に「価値あるパスワード」とは、
・「その瞬間しか使えない」ことと
・「受け渡し方法が別機能」ということ
の掛け算で成立します。
よくあるダメな事例
あえてダメな事例を説明すると、こんなPWがよく身の回りであります。
・「同一メールに添付ファイルとPWが書かれている」
・「同一メールアドレスに時間差で添付ファイルとPWが来る」
本当に中身を守りたいのであれば、PWはSMSなどで「別送」する必要があります。
つまり、今回の件で言えば、Facebookのサービス以外のところで二段階認証PWを得る必要があります。
それこそがGoogle Authenticator
これはGoogleが運営しているワンタイムパスワードアプリです。
初期設定をして画面を開くと、いろんなアプリに対して、ワンタイムパスワードを発行してくれます。
Googleが乗っ取られない限り安全ですし、仮にGoogleが乗っ取られても、なくなるのは「二段階認証」であり、「一段階認証」は洩れません。
余談ですが、Binanceでは当たり前
私の場合、海外の仮想通貨取引所「Binance」でこのアプリを常用していたので、ハッキング対策には自信がありました。(関連記事)
日本の金融機関含め、多くの「二段階認証」は同じ自社ソフトの延長です。
自分の情報や資産を正しく守ろうとするのであれば、Google Authenticator への対応は要チェックです。
さらに余談ですが、Facebook内にもワンタイムパスワード機能あり
Facebookにログインするのに、FacebookにPWを聴くのは賢くありません。
金庫番に金庫のありかと鍵のありかを同時に聞くようなものです。聞く側も答える側も、両方程度が低いです。
が、それしか方法がなかったとして、
アプリ右下ボタン 自分の顔のアイコンを押し、「コードジェネレーター」を押すと、ワンタイムパスワードが入手できます。
これを使えば、
- ログインパスワードを変更し、
- スマホ1台しかログインしていないことを確認し、
- このスマホでしか見れないワンタイムパスワード
を使うことで、2台目以降も、安全にログインすることができます。
「自分しかログインしていないFacebook画面」という前提が必要となります。
乗っ取り対策#3 ログインアラートの大切さ
それでも念には念を入れ、最終大義は「ログインアラート」です。
ログインアラートの大切さ
これは
- 新しい機器からのログインを察知次第、リアルタイムで認知できること
- そのログインが不正とわかれば、「強制ログアウト」させられること
この2点で「最終大義」と言えるでしょう。
逆に、まじでキレイに乗っ取られた場合、自分との戦いが大変になりそうですが、、、
おさらい 自分のセキュリティーチェック
いろいろ書きましたが、自分のスマホアプリから下記操作を行い、自分のセキュリティーチェックをしてみましょう。
画面操作
スマホアプリの右下にある自分のアイコンから、次のように画面操作をし、
- 「設定とプライバシー」
- 「プライバシーセンター」
- 「プライバシー設定」
- 「プライバシー設定を確認」
- 「アカウントの安全確認」
確認結果
このようにOK確認をしましょう。
これは自分のためであり、家族・友人のためでもあります。