利用していなくても無縁ではない負の側面

日本IBM 　経営品質　情報セキュリティ推進室
シニア・セキュリティ・アナリスト
守屋英一
2012/7/19

他人のユーザーIDやパスワードを使った「なりすまし」が、Facebookでは日常化しているというと、皆さんは驚くだろうか？ 実際に、1日当たり60万件ものなりすましアクセスが行われているという。その危険性と対策方法を紹介する。（編集部）

　何かとウワサのFacebookに「なりすまし」のリスク

　2012年5月18日、米FacebookがNASDAQに上場した。初日の取引を終えた時点での時価総額は約1046億ドル（約8兆2700億円）。これはアマゾン・ドットコムやマクドナルドを上回る数字だったが、その後同社の株価は急落し、時価総額は約300億ドル（約2兆3700億円）も減少した。

　また、上場時のシステム障害で取引開始が遅れた結果、一部の金融機関が損害を被ったことに対して、NASDAQ側が総額およそ4000万ドルを補償する計画を発表するなど、何かと話題に事欠かない。

【関連記事】 Facebook上場初日のシステム障害でNASDAQが約4000万ドル補償へ（ITmedia ニュース） http://www.itmedia.co.jp/news/articles/1206/08/news027.html Facebookの株式公開、終値は公募価格＋23セント（ITmedia ニュース） http://www.itmedia.co.jp/news/articles/1205/19/news007.html

　さて、このFacebookにおいて「なりすまし」がはびころうとしている。その実態を皆さんはご存じだろうか？

　そもそも「なりすまし」とは？

　IT用語辞典の「e-words」によれば、「なりすまし」とは、他人のユーザーIDやパスワードを盗用し、その人のふりをしてネットワーク上で活動することだ。本来ならばその人しか見ることができない機密情報を盗み出したり、悪事を働いてその人のせいにしたりする行為と説明している。

　残念ながら、Facebookもこのなりすましと無縁ではない。英トレンドマイクロは、Facebookのユーザー名とパスワードが1万件以上盗まれ、Webサイトで公開されていたことを、2011年10月18日付のブログで報じている。

　しかし、Facebookのユーザー名とパスワードに関する情報を盗み出すことはそもそも可能なのだろうか？ この疑問に対して、Facebook自身が興味深い発表を行っている。1日当たり10億回を超すFacebookへのログインのうち、アカウント乗っ取りによるログインが0.06％（60万件）を占めるというものだ。

【関連記事】 Facebook、新しい管理ツール提供へ　ログイン乗っ取りは「毎日60万件」（ITmedia ニュース） http://www.itmedia.co.jp/news/articles/1110/31/news014.html

　このことからも、Facebookに対する「なりすまし」は日常化しているといえるだろう。

　堅牢なパスワードで攻撃者の「推測」を防げ

　容易に推測可能なパスワードを設定していると、「なりすまし」の被害に遭いやすい。

　警察庁の調べによれば、攻撃者がよく利用する推測パスワードの1位から3位『123456』などの数字の羅列で、4位は『password』だった。

　また、一見すると複雑なパスワードに見えても、記憶や入力が容易なためによく使われるパスワードもある。下記のような、キー配列を利用したパスワードがそれだ。しかし犯罪者はそれも想定に入れ、こうしたパスワードも使って攻撃してくるため注意が必要だ。

図1　一見複雑そうに見えて推測が容易な、キー配列を利用したパスワード（出典：警察庁（PDF））

　強固で優れたパスワードを設定することは、Facebookに限らず、あらゆる場面で必要なセキュリティ知識である。パスワードは、本人であることを証明する大切なものであり、簡単に推測される安直なものであってはならない。優れたパスワードを作るためのヒントを、以下にいくつか示してみた。

●優れたパスワードを作るための条件

• 9桁以上の長さを備える
• パスワード中にユーザーIDの文字列を含まない
• キーボード配列に従ったパスワードは設定しない
• 英字（大文字／小文字）と非英字（数字、句読点、特殊文字）の混合を含む、あるいは、少なくとも2種類の非英字の混合を含む
• 特殊文字を入れる場合は、~、＜、＞、｜、｝、｛、[ といった文字を含む
• 同じパスワードを使い回さない

　優れた文字列を組み合わせれば第三者による推測が難しいパスワードになるが、自分自身で記憶しておくことも難しくなる。もし、多くのパスワードが覚えられないという場合は、パスワードを保管するツールの使用をお勧めする。例えば、「Password Safe」は無料で使用できるパスワード管理ツールだ。優れたパスワードを自動生成する機能も備えているため、上手に活用してほしい。

　Facebookが備える、なりすましの兆候の通知機能

　Facebookには、あなたのアカウントに対して不正アクセスが行われた場合、その兆候をいち早く知らせてくれる機能がある。新しい機器からのログインや認証が失敗した場合、電子メールやショートメッセージサービス（以下、SMS）で通知するというものだ。

　この通知機能は、以下の手順で有効にできる。もし、この機能によって不正アクセスの兆候が通知された場合は、すぐにパスワードを変更するなどの対応を行ってほしい。

1. ログインし、最初に表示されるホームページを開く。
2. 右上のメニュー「▼」から「アカウント設定」ボタンをクリックする。
3. 次に左上のメニューから「セキュリティ」をクリックする。
4. 画面1のセキュリティ設定画面が表示される。
   

画面1　セキュリティ設定の画面で「ログイン通知」を選択する



5. この中の「ログイン通知」という項目をクリックする。
6. 「これまで使ったことのないコンピュータや携帯機器からログインがあった場合お知らせします。通知を受け取る方法を選択してください」というメッセージが表示される。
7. 画面2から通知方法を選択し、チェックボックスにチェックを入れることで機能が有効になる。
   

画面2　通知方法の設定画面

　「使い回し」のリスクには使い捨てパスワードで対処

　攻撃者が使ってくる手段は、パスワードの推測以外にもある。使い回されているパスワードを狙った攻撃だ。

　情報処理推進機構（IPA）は、複数のサービスでIDとパスワードの使い回しを行っているユーザーの情報を目的に、無料のWebサービスが攻撃されるケースが増えているとして注意を呼びかけている。また警察庁が、イターネット企業13社の協力を得てパスワードの使い回しによる被害実態について調査した結果、2012年2月だけで延べ1万7000回の不正アクセスが確認されたという。

　こうした状況を踏まえると、Facebookで使用しているものと同じユーザーIDやパスワードを、ほかの電子メールサービスやオンラインショッピングサイトなどでも使い回していると、Facebook以外のサービスが不正アクセスなどを受けてパスワード情報が流出した結果、Facebookのアカウントが乗っ取られる恐れがある。

【関連記事】 パスワードの定期変更という“不自然なルール” http://www.atmarkit.co.jp/fsecurity/rensai/dknight06/dknight01.html 本当は怖いパスワードの話 http://www.atmarkit.co.jp/fsecurity/special/165pswd/01.html

　従来の固定パスワードによる認証方式では、パスワード情報が漏えいしてしまえば本人以外の人間が不正にアクセスできてしまうという問題が存在していた。そのため、定期的に固定パスワードを変更するという手法により、リスクの軽減が試みられている。

　より根本的な解決手段として開発されたのが使い捨てパスワード（ワンタイムパスワード）である。使い捨てパスワードとは、従来の固定パスワードとは異なり、使うたびにパスワードが変化する。具体的には、認証のたびに一度きりしか使えないパスワードが発行され、それを用いて認証を行う仕組みで、固定パスワードにおける不正アクセスのリスクを軽減できる。

　使い捨てパスワードは、オンラインバンキングサービスなどの機密性の高い情報を取り扱う場合によく使われている。Facebookでは、事前に登録されていない新しい端末からログインを試みた場合に、使い捨てパスワードで、新しい端末の利用者が本人であるかどうかを確認している。

　次の手順を実施することで、使い捨てパスワードの設定が有効になる。

1. ログインして最初に表示されるホームページを開く。
2. 右上のメニュー「▼」から「アカウント設定」ボタンをクリックする。
3. 左上のメニューから「セキュリティ」をクリックするとセキュリティ設定画面が表示される（画面3）。
4. 「ログイン承認」という項目をクリックする。

画面3　セキュリティ設定の画面で「ログイン承認」をクリックする



5. 「未認定機器からログインする場合、セキュリティコードの入力を要求する」というチェックボックスにチェックを入れ、画面4の「設定する」をクリックする。
   

画面4　ログイン承認を設定



6. 「電話番号を追加」という画面が表示される（画面5）。その中の「携帯連絡先情報」に携帯メールアドレス、もしくは携帯番号を入力する。
   

画面5　電話番号を追加



7. 「×××宛てにコードをお送りします」という画面が表示される（画面6）ので、携帯に送られてきた6桁の英数字を入力する。

画面6　コードを入力

8. 「ログイン承認の設定が完了しました」という画面が表示されるので、「閉じる」をクリックする。
9. その後、新たなコンピュータやスマートフォンからFacebookへアクセスすると、「モバイル確認コード」と呼ばれる6桁の英数字が携帯電話に送られてくる。
10. 受信した情報を「セキュリティコードを入力」という画面に入力し（画面7）、「コードを送信」ボタンをクリックすることで、新しい端末からのログインが可能になる。



図7　携帯電話に送られてくる「セキュリティコード」を入力する（クリックすると拡大します）

　利用していないのに「偽りのアカウント」？

　「Facebookは怖いから、今後も利用する予定はない。だから、自分には『なりすまし』は関係ない」と考えている人もいるだろう。

　ところが、別人があなたの名前で偽りのアカウントを作成する可能性がある。ただ偽りのアカウントを作られるだけでなく、誰かを誹謗する投稿を行ったり、あなたと友達との信頼関係を利用して友達の情報を盗んだり、ウイルスに感染させるなどの不正行為に悪用される恐れがある。

　つまり、自分がFacebookのアカウントを持たないからといって安全であるという考え方は間違っている。あなたになりすました不正なFacebookアカウントが作成されていないか、定期的に確認しておく方がいいだろう。

　中には、本当にそんなことがあるのだろうかと疑問を持つ人もいるだろう。ところが、UOLDiveoが行った実験によれば、人は意外と簡単に偽アカウントにだまされるようだ。

　この実験では、対象アカウントの上司の名前で偽りのアカウントを作成し、上司の「友人の友人」432人に「友達リクエスト」を送信した。するとわずか1時間のうちに24人が「友達リクエスト」を承認した。しかも承認したユーザーの96％は、友達リストの中にすでに本物の上司のアカウントがあったにもかかわらず、承認を行っていた。

　この結果からも、あなたが知らない間に、攻撃者が偽りのアカウントを使ってあなたの友達と「友達関係」を構築してしまう恐れがあることは明らかだ。

　対策は、Googleアラートなどを利用して、定期的に自分の名前、所属、サイト名などを検索し、自分自身の評価を確認することだ。この行為をエゴサーチという。なりすましを発見した場合はサービス提供元に報告し、当該アカウントの削除を依頼しよう。

出典：週刊アスキー増加するSNSの“なりすまし”被害 対策と予防について知っておきたいこと

　負の側面を理解した上で利用を

　ここまで説明してきたように、Facebookには、「実名登録」による安心感とは裏腹の負の側面がある。プライバシーの流出やサイバー犯罪による被害も急増し、海外では殺人事件に至った事例も確認されている。このことを十分注意した上で利用してほしい。

【関連記事】 Facebookタイムライン利用時の「鉄則」 http://www.atmarkit.co.jp/fsecurity/special/166timeline/01.html

　なお、より多くの人にFacebookのリスクを認識し、安全に利用してもらうために「フェイスブックが危ない」という書籍を発売した。併せてぜひご確認いただきたい。

	「フェイスブックが危ない」
	著者：守屋英一
	発売日：2012年6月20日
	出版社：文藝春秋
	ISBN：9784166608676

Index
Facebookタイムライン利用時の「鉄則」
	Page1 何かとウワサのFacebookに「なりすまし」のリスク そもそも「なりすまし」とは？ 堅牢なパスワードで攻撃者の「推測」を防げ Facebookが備える、なりすましの兆候の通知機能 「使い回し」のリスクには使い捨てパスワードで対処 利用していないのに「偽りのアカウント」？ 負の側面を理解した上で利用を

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）