Facebookを乗っ取られ、偽レイバンのイベント主催者に

お恥ずかしながら、ITコーディネータでありながら、タイトルの通りFacebookを乗っ取られ、偽レイバンのイベント主催者として、友達全員を招待していました。数日前のことです。

Facebookのメッセージで、友達2名から連絡をいただきました。
一人は、「乗っ取られてるで」、もう一人は同じITコーディネータで、Facebookのメッセンジャーで親切にも画像まで貼っていただきました。

解決方法は、いくつかありますが、参考にしたのは、こちらのページです。

●Facebook乗っ取られた!偽レイバン対処法!
http://www.sandarthokkaido.net/entry/nise-ray-ban
●【要確認】偽レイバン Facebookイベントスパムで勝手に招待した・されたときの対処法
http://mobile-yell.com/archives/2467

↑ 親切に対処法を記載されていますので、そのあたりは省略。

1)Facebookのパスワードを変更
2)ほぼ全てのサイトのID、パスワードの見直し&変更

2)ですが、GoogleのブラウザChromeをメインに利用していますので、ID・パスワードをエクスポートします。それをベースに、同じID・パスワードを使っている場合は、変更です。

教訓その1
パスワードの使い回しは、やめておきましょう。

およそ60~70ほどのサイトのパスワードを変更、2時間ほどは掛かったでしょうか。この後、パスワードを変更したサイトにアクセスする際は、変更後のパスワードを忘れないように。グーグルの機能で記憶していない場合もありますので。

変更していく中で、パスワードに大文字、記号を入れないと変更できないサイトも増えていました。相変わらず、8文字で設定OKのところも。

その次に思ったのが、「なぜ、乗っ取られたか?」です。
一番成功率が高いとされている、パスワードリスト攻撃?
ID・パスワードなどが流出しているのかどうか、チェックできます。

●「Have I been pwned?」
https://haveibeenpwned.com/

2か所から流出していました。
大手サイトです!うち1か所と同じだったと思い出し…。

教訓その2
IDにメールアドレスを使う場合は、非公表のメールアドレスを使おう。

どこかのサイトでチラッと見たのですが、知られていないメールアドレスをIDに使うだけで、パスワードリスト攻撃には遭わなくなります。まあ、確率が大幅に下がる程度のようですが、少しは安心です。

Facebookで連絡先として公開しているメールアドレスと流出したメルアドを照合すれば、すぐに攻撃対象(=今回は私)は絞れます。私のように個人レベルで商売をやっている場合は、メールアドレスを公開せざるをえないケースも多いですし、それでも、ID用には別のメルアドを準備しなければ、と強く思いました。

有名企業のサイトであれば、ブルートフォースアタック(総当たり攻撃)もあるかと思います。

で、2段階認証が利用できるのであれば、必ず使う。強制的に2段階認証になっているところもありますが、面倒だからと設定しなければ、トラブルを招くかも知れません。

今回このような事態になって感じたのは、
「情報セキュリティの基本の基本やん」
ということです。
多少は勉強したはずですが、実践実行できなかった馬鹿者です、私。マイナンバーのセミナーでも、さんざん説いておいて、いや本当にお恥ずかしい。

教訓その3
知識は、実践してこそ、価値あるものとなる。

ご迷惑をお掛けした方には、お詫びします。
(Facebookでは、お詫びの投稿はすぐに行いました。)

ありがとうございました。