普段思ったことや、雑記。

Menu & Search

個人情報が流出したっぽいときにやるべきこと、不正ログインを防ぐためにやっておくべきこと

2018年1月14日

恥ずかしながら、最近Facebookのアカウントが不正ログインされ、一時的に乗っ取られてしまった。事態としては、自分のアカウントが上の画像にあるような、よくあるレイバンのソレになってしまった。ありがちな「まさか自分に起きる訳がない」という、意識が低いやつがむしろ踏んでしまうというパターンの典型だと思ったので、反省の意味を込め、事の顛末と、実際に不正ログインが起きてしまったらどうすればよいか、普段からできる不正ログイン対策の仕方を具体的に書いておく(…しかし、一介の技術者がと思うと、ダサすぎるし、恥ずかしいかぎり)。

 

昨年末より、Googleアカウントへのログイン試行のメールが続く

Googleアカウントへのログインがあったのが台湾からだったので、なんとなーく怪しいなと思ったのだが、中国の方が間違えてログインをやっているのかな?と思った。しかし、それが数日おきのペースで数回続いたのだった。
最終的に国内からのログインも確認し、神奈川からログイン試行があった。3回目の神奈川からのログイン試行で、さすがにこれはまずそうと、パスワード変更をした。

 

同時期にFacebookへのログイン試行のアラートメールを確認。これで個人情報の流出を疑いはじめる

Googleアカウントへのログイン試行だけならまだしも、時期も同じでかつ、Facebookにも第三者からのログイン試行が起きた。メールアドレスの情報が流出してしまったのかと、この時点でやや疑いを持った。Facebookへのログイン試行へのインパクトは自分の中ではすごかった。ただでさえ、Googleへの度重なるログイン試行は気持ち悪いな、と思ったのだが、Googleのパスワードを変更したと思ったら、その翌日にはFacebookへのログイン試行があったのだ。よって、アラートメールに気づいてFacebookからは1回目のメールを検知してからすぐにログインし、パスワードを変更したのだった。

 

Facebookアカウントのパスワードを変更するも…アカウントハックされる

Facebookアカウントのパスワードは警告のメールがあってから、数時間以内に変更した。しかし、その2日後に事が起こる。なんと、例によって偽レイバン事業者の不正な広告をするスパムアカウント化をしてしまった。事象の内容としては、レイバンの不正な製品を販売しているであろう企業のFacebookページのイベントに自分のアカウントが勝手に参加し、友達招待しまくるというものだ(実態のない、意味のないイベントにひたすら友達を誘いまくるBot化)。正直言って、前々からFacebookでレイバンのスパム化する奴はダサいなー、と思っていたのだが、自分にこれが起きてしまった。完全にブーメランである。恥ずかながら、友人数名からFacebookメッセージでスパム感染の連絡があり、事態に気付いた。

 

Facebookアカウントへのログイン試行があったら、全てのログイン端末から強制ログアウトを行う

今回アカウントハックされた根本の原因は、見出しの通りで、ログイン端末の確認と全ての端末からの強制ログアウトを実施することが必要だった。ログイン履歴は確認したのだが、Facebookの履歴が見づらいのか、ログイン成功なのかがよくわからずに、パスワードを変更しただけで強制ログアウトはしていなかった(少々焦っていたのかもしれない)。これがまずかった。実際には、不正なログインは成功しており、ログイン状態を維持されていたのだ。

余談として、今回のようなレイバンスパムの事後処理も紹介しておく。Facebookアカウントへの不正ログイン後は、アカウントが乗っ取られ「レイバン」のどうのこうのと書いてあるイベントに自分が参加状態になっていると思うので、該当するイベントページの三点リーダーのアイコンの箇所から「Facebookにイベントを報告」を選択し、報告の理由から「スパムまたは詐欺」を選択し決定する。そうすると、Facebookに不正イベントとして通知されるのでやったのち、イベントを不参加にしておく。あとは、スパムイベントなので参加などのアクションは一切しないよう、とFacebookの投稿で一言書いておくのがなんらかの二次被害を防ぐうえではよさそうだ。

 

GoogleやFacebookに限らず、ログイン試行アラートを確認したら、アカウント情報が流出した意識を必ず持つこと。そしてすぐにやるべきことは2つ

まず、大前提として、第三者からログイン試行アラートが来る時点で、すでに「自分のアカウント情報が流出した」という認識を持ったほうが良さそうだ。今回のレイバンスパムの件について調べると、原因としてはGoogleやFacebookでもない他社から自分のアカウント情報が流出し、それをもとにログイン試行をおこなうリスト型攻撃という手法が取られているのが濃厚そうだということが分かった。

個人情報なのか、アカウント情報だけなのかは一切不明だが(※個人情報とは実在する個人を特定する情報であり、メールアドレスとパスワードのセットだけでは実は個人情報に該当しない)、とにかく自分が他インターネットサービスで使用しているサービスのアカウント情報については、どこかで流出してしまったと認識している。自分の場合、Googleアカウントにはたまたまログインに成功していなかったものの、Facebookには明らかに不明なログインの履歴が2件もあり、こちらについてはたしかに他のサービスでも同様のメールアドレスとパスワード情報のセットは思いあたったので、認識としては間違ってはいないだろう。

そして、2つのやるべきことは、1つめは必ずログイン試行のアラートを検知したら、すぐに該当サービスにログインし、ログイン履歴を確認のうえ、あやしいログイン端末を強制ログアウトさせることだ。Facebookではログイン履歴は長く続くタイプのリストだったりする。全部見ていくと大変なので「すべてのセッションからログアウトする」を選択し、ログインを確認したすべての端末から強制的にログアウトをすることがおすすめだ。またその直後には、2つめのやるべきこととして、すぐにパスワードを変更する。
これらやるべきことについては、どちらが先でも良いが、ログアウトが先の場合は、パスワード変更後にもう一度ログイン状況を確認するほうがより安全ではある。また、該当するサービスだけではなく、よく使っているサービスなども同様の確認をしたほうが、もちろん安全ではある。

重要なので、以上の簡単にまとめておく。

ログイン試行を確認したら…

  1. 自分のアカウント情報の流出がしたという認識を持つ
  2. 不正ログインを検知したサービスにログインし、他端末からのログイン状況を確認
  3. 不正ログイン端末から強制ログアウト処理をする
  4. パスワードを変更する

 

本当に怖い、アカウント情報の流出。実害はなくても「既に第三者からのログインが成功しているケース」も実際に友人で確認した

たまたま友人にこの不正ログインの顛末を話したところ、友人もログイン履歴を見たところ全く関係のない地域からFacebookへにログインの履歴があり、やはり強制ログアウトしたということだ。友人の生々しい反応が伝わればよいと思うので、LINEの会話の一部のキャプチャを載せておく。

結論:多段認証を使うのと、パスワードは定期的に変更するというのが良さそう。さらに、ログイン状況もたまには確認するというのが、不正ログインを予防するための考えうる手段。

アカウント情報の流出だけは、外的要因なため、どうやっても防ぐことができない。なので、認証ステップを増やして、流出した情報だけではログインがそもそも難しくしてしまうというのは、今回起きたであろうリスト型攻撃には有効そうだ。これをやらない、できない場合には、最後の砦がどうしてもパスワード情報になってくるので、パスワードを定期的に変更をするのがベストな対策といえる。また、不正ログインされていないか、たまにはログイン履歴を眺めることも必要そうだ。変な話、メールアドレス情報だけでも、あとは機械的にログイン試行を何度も繰り返すことは可能である(※ちゃんとしたサービスは機械的にログイン試行をしにくくしていることが多いが)。

あとは、これはサポートしているサービスが一般的かは微妙なので補足になるが、GoogleやFacebookなどのサービスではアカウントにログインができない場合のための設定が用意されているので、もし不正ログインをされてしまった場合の保険として、事前にそのような設定を済ませておくことだ。Googleではパスワード再設定用に、他のメールアドレスや電話番号をあらかじめ設定でき、ログインできない場合はそれを使用することでパスワードを再設定可能だ。Facebookでは信頼できる友だちを設定でき(たしか3人まで)、ログインができない場合に連絡をとってアカウントを復旧できるシステムがある。

インターネット上のサービスに自分の情報を提供する時点で、情報の流出リスクがその時点から発生しているんだな、と実際に事態が起きてから実感してしまった。

以上を、簡単にまとめておく。

日頃からできる不正ログイン対策

  1. 多段認証を設定する
  2. パスワードを定期的に変更する
  3. 定期的に不正ログインがないかログイン履歴を確認する
  4. (補足) アカウント復旧に使える手段…例えば、再設定用メールアドレスの登録などはやっておく
mmiyauchi

プログラムを書きながらTranceを聴くのが良いですね。みなさんも聴いたほうがいいですよ、Trance。EDMよりハードトランスでしょ。

Related article

2018年の目標とやらないこと

今年は30歳の年で、…

「2017年の目標と、2017年やらないこと」の振り返り

恒例の目標の振り返り…

Udemyの講師ミートアップに行ってきた

Udemyの講師ミートアップに行ってきた

Udemyのリクルー…

Discussion about this post

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Type your search keyword, and press enter to search
%d人のブロガーが「いいね」をつけました。