過去のFacebookの書き込みより
● 2013年7月11日 ·
ここのところ「なりすまし」といっしょになって話題になってる、架空の友達が3人いるとアカウントを乗っ取られる可能性があるという件、これほんとに乗っ取れるのか、やっぱ詳細に手順を確認しないとなあという気がしてるんだけど、どこかに実践してみたひとのレポートってないだろうか?(自分のアカウントを凍結させて試すのちょう怖いからできたらやりたくない)
自分の理解だと、この乗っとり手法にはいくつか簡単にはいかないんじゃないかという点があって
- いつもと違う場所からログイン試行があって、なんどか失敗するとすぐアカウントは凍結されて、ふつうのリカバリ手順には進まないんじゃないか?
- アカウントがロックされたり、リカバリ手順が成功した時点で、登録メールアドレスに通知がいっちゃうから、本当の持ち主が異常に気づくのではないか?
- 通知行かないように登録メールアドレスも変更した場合、メアドとパスワードの両方を変更すると、新しい設定でのログインは24時間禁止されて、その間に旧メアド・パスワードでのログインがあると変更は無効になるという仕様がはあったはずで、運良くアカウントを乗っ取れても、本当の持ち主が24時間以内にログインしちゃうと無効になるのではないか?
- おそらくだけど、同じIPからいろんなFbアカウントにログインを試行してると、ふつうにBANされるんじゃないか?
といったいくつかの障害を乗り越えないと、架空の友人を使った乗っ取りって成功しないような気がしてるんだけど、いやいやそんなことないよ、つい最近もこんなに簡単に成功したってレポートあるよー、みたいなのあったら見たいなあ。
まあ、世間のひとの多くは24時間以内に必ずFbにログインしてるって人ばかりじゃないので、そういうあまりアクティブではないアカウントをゆっくりと手中に納めていくという戦略が有効なのかもしれないけど。
これは、たとえばこういう記事が拡散されて、Facebookが危険であるということをうけてのもの
ニュース - Facebookが注意喚起、“架空の友人”3人以上承認でアカウント乗っ取りリスク:ITpro http://itpro.nikkeibp.co.jp/pc/article/news/20130710/1097144/ Facebookが注意喚起、“架空の友人”3人以上承認でアカウント乗っ取りリスク | 日経 xTECH(クロステック)
ちなみに、記事で「米フェイスブックは」となっているけれど、実際はAllAboutが運営をうけおっている「フェイスブックナビ」というページへの投稿らしいので、ただしくは「日本の公認代理店は」というべきかもしれない。
この元ネタになっていそうなのが、この注意喚起の記事で、この時点ですでに2年くらい経過している。
Bypassing Facebook Security Question to crack Password! https://www.hacker9.com/facebooks-security-question-vulnerability-bypassing-security-question.html
なので、なにも対策が取られていないとは考えられないし、被害事例がレポートされていれば確かに問題だということになるけど、 実際のところは初出に書いてあることを誰も検証していないけどみんなで危険だ危険だとコピペだけしてるだけかもしれない、という「正しく怖がれていない事案」ではないかというのが気になっていたのだった。それが4年前。このパスワードを忘れたときの仕組み、まだあるのかな?
