Facebookなりすまし3人承認で乗っ取りはウソ!?
巷で話題の「なりすましアカウントを3人友達承認するとアカウントが乗っ取られる」を、お友達と検証してみました。
その結果
乗っ取られる可能性は極めて低い(ほぼゼロ)
と言う結論になりました。
さてまずはその手口ですが
①Facebookにはログインパスワードを忘れた人の最終救済策として「3人の信頼出来る友達」にセキュリティコードを送りそれを入力することで利用を再開できる機能があります。
(通常は登録したメールに再開手順が送られてきます)
②悪意のある第三者はあらかじめターゲットとしたアカウントに3人のなりすましアカウントを友達承認させておきます。
③そしてターゲットのふりをしてパスワードを忘れた機能を利用します。
④そこで「3人の信頼出来る友達」を選択するステップで自分の作成した3人のなりすましアカウントを指定します。
⑤すると、その3人のなりすましアカウントにターゲットのセキュリティコードが届くので、それを利用してターゲットとしてFacebookにログインできてしまいます。
さて、こう書くと3人のなりすましアカウントを承認したらいとも簡単にアカウントが乗っ取られるような気がしてきます。
しかし
実際はそうではありません。
まず①の「3人の信頼出来る友達」にセキュリティコードを送る機能ですが
そもそも、この機能が使えないアカウントの人がいます。
パスワードを忘れた画面でステップを進めていっても「登録メールが使えないなら使えるようにしろ」とか「セキュリティの質問」しか出てこないアカウントの人がいます。
このため、この手口での乗っ取りは最初からできないアカウントがある。ということになります。
友達の数が少なかったり、携帯電話による個人認証をしていないアカウントはこの機能が使えないようです。
次に
この機能が使えるアカウントがターゲットにされた場合ですが
「3人の信頼出来る友達」を選択するとき
一人目は「全ての友達」から選択できます。
が
2人目以降はFacebookが指定した友達の中から選ばなくてはいけません。
その数は30人~60人(アカウントによって数が違ってきます)
この中に悪意の第三者の作成したなりすましアカウントが無ければもう乗っ取りはできまん。
これが3人目を選ぶときにはさらに選択できる友達の数が減ります。
この選択できる友達の基準はFacebookのランダムな選択によると思われます。
また毎回友達が入れ替わるのでは無く毎回同じ友達が表示されます。
友達の数にもよると思いますが、この確率の低い手口でアカウントの乗っ取りを企てるのは非常に可能性の低いことだと思わざるをえません。
したがって
なりすましアカウント3人承認で乗っ取られる可能性は極めて低い(ほぼゼロ)
と考えられます。
もっと大量のなりすましアカウントをバンバン友達承認させれば選択できる友達に、なりすましアカウントが出て来る可能性はあります。
しかし
そもそもそんな怪しいアカウントをバンバン承認するような人は乗っ取られてもしかたがないんじゃ?
さて
この手口でのアカウント乗っ取りは可能性がゼロではありませんが、その可能性をゼロにする方法はあります。
それは自分で「信頼出来る友達」を登録しておくことです。
そうすればパスワードを忘れた画面でのステップでその登録しておいた「信頼出来る友達」にセキュリティコードを送ります。
PCでは、右上の歯車マークから「プライバシー設定」→左側の「セキュリティ」→「信頼出来る連絡先」をクリックすると登録できます。
スマホでは、左上の三マークをタップして、出てきたメニューを下にスクロール→「アカウント」→「アカウント設定」→「セキュリティ」→「信頼出来る連絡先」で登録できます。
なお、この登録をした相手には「XXさんがあなたを信頼出来る連絡先として追加しました」と言うお知らせが飛びます。
また、「信頼出来る連絡先」を選ぶ基準として、自分がFacebookにログインできない状態でも連絡ができる友達を選びましょう。
最後に
アカウント乗っ取りの心配が無くなったとしても、なりすましアカウントを友達承認しても良いことはありませんから、友達の承認は慎重にしてください。