昨日、兄からMessengerで「あなただと思います。」という動画が届いた。
20年8月には友人から「このビデオはいつでしたか?」という動画がやはりMessengerで届いた。
そして、今朝は高校の時の後輩から一昨日は変な動画を送ってしまい申し訳ありませんという謝罪のメッセージがMessengerで届いた。
その動画自体はなぜか観られなかったが・・・
そう、兄も友人も後輩もFacebookアカウントのIDとパスワードを乗っ取られたのだ。
ちなみに、私は兄からのMessengerからの動画リンクをクリックするところまでやってしまった。
兄から動画リンクがMessengerで送られてくることなど、これまで一回もなかったのに知人からのメッセージというだけで私の心理的障壁はほぼなくなっていたのだ。
おかしいとは思ったが、FacebookをやりながらYoutubeで私が自転車イベントにでも参加している動画をみつけたのかしらぐらいな気持ちで動画リンクをクリックしたのだ。
そうすると、Facebookへのログイン画面のような画面が表示されたところでストップした。
Facebookのログインが何故表示されるのかと疑問に思ったのだ。
MessengerアプリからのリンクでFacebook内の動画に誘導するのであれば、Messengerから認証情報は引き継がれるため、わざわざFacebookへのログインを求めてくることはないだろうと考えたのだ。
そして、よくみるとその画面のURLはFacebookとはまるで関係ないドメインとなっていた。
そうこれは私のFacebookのIDとパスワードを盗みとろうとするフィッシングサイトへの誘導リンクだったのだ。
本当にこの詐欺手口は巧妙だ。少し前に以下の記事を書いた私ではあるが、危うくFacebookのIDとパスワードを盗み取られるところだった。
Facebookはそこまで利用していないとはいえ、この方法でFacebookのIDとパスワードが盗まれると私の友人にも同様の攻撃が仕掛けられることになる。
直接金銭的被害は出ないかもしれないが、Facebook上でおかしな行動をとられることで社会的信用を失うことになる可能性がある。
また、インターネットサービスのIDとパスワードは多くのユーザが同じものを利用しているケースが多い。このことから、他のサービスのIDとパスワードが合わせて漏洩するリスクが高い。
このようなケースを防衛するのに有効な手段が各インターネットサービスが用意しているセキュリティ強化策の2段階認証だ。
最近、大手のインターネットサービスは2段階認証に対応してきている。
仮にIDとパスワードを盗み取られても、自分が普段利用しているインターネット環境と異なる環境で当該サービスにログインしようとするとIDとパスワード以外の認証手続きが必要となる。
ちなみに、毎回2段階認証が必要となるようなサービスもあれば、ユーザのふるまいをみて2段階認証を促すサービスもある。
利便性が高いのはふるまいをみて2段階認証を促すサービスではある。
ただ、正直自分のPCの情報をコンピュータウイルスにより盗み取られた場合には、この自分のふるまいですら偽造される可能性が高いため、重要なサービスは常に2段階認証としてもらった方が安心感がある。
利便性よりも安全性を優先した方が良いということだ。
なお、2段階認証でよくあるケースとしてIDとパスワード以外に秘密の質問を聞いてくる認証システムもあるが、私をこの方法のセキュリティ強度は低いと考えている。
なぜなら、IDとパスワード、それに秘密の質問だがこれはある意味パスワードが2つあるというだけで認証の要素が秘密の質問をパスワードと同じと考えると1つなのだ。
2段階認証のセキュリティ強度を高めるには、認証の要素を複数用意する必要がある。
例えば1つの認証要素がパスワードであれば、もう1つの認証要素は生体認証やデバイス認証などになる。
以前ネットバンキングで主流だったビンゴカード形式の2要素認証もビンゴカードの組み合わせ事体は認証キーの組み合わせが多く、人がビンゴカード情報を盗み取るのは困難だ。しかし、ビンゴカード自体が静的(変動しない)情報であるため、昨今のコンピューターの演算能力の向上によりビンゴカードの情報を時間をかければ抜き取られてしまう。
つまりビンゴカードは結局ちょっと複雑なパスワードというわけだ。
もちろん、認証システム側で数回認証エラーとなった際にアカウントをロックする機能があればおいそれとパスワードを盗み取られるということはないかもしれない。
だが、多くのサービスはユーザ(システム運用側)の利便性を考慮して、このアカウントロックは一定時間が立つと自動で解除される。
ネット上の犯罪者はこういった認証システム側の特性を把握して、システムが検知できないように慎重にパスワード解析をしていくのだ。
とりあえず大手のインターネットサービスは2段階(要素)認証機能を実装しているため、自分のアカウントを盗み取られたくない方は、今すぐ自分のアカウントのセキュリティ設定を見直してほしい。
2段階認証の設定が有効になっていなければ、有効にすることを強くお勧めする。
本当にネット世界の犯罪は怖い。