Facebookから、身に覚えのないパスワードリセット通知が登録メールアドレスに届きました。
パスワードリセットの情報として表示されているのは、自分が普段利用していないブラウザ、IPアドレス、普段行かない場所で、この日はFBアカウントは利用していませんでした。
加えて、自分の知らないうちに、自分のアカウントから勝手にメッセージまで送られていました。。
調べてみると、今回、不正アクセスされてしまった原因は自分の不手際なのですが、携帯番号変更時にFacebookアカウントに紐づけていた番号の変更を忘れていたことでした。
現在のFacebookの仕様では、
1.登録している電話番号に送信されるSMSが受信できれば、本人確認やパスワードの確認もなく、ログインできてしまう
2.また、1.の方法でログインされた場合の通知はない
ができてしまう状況です。
2.に関しては、「普段と異なる環境からログインがあった場合」の通知はあるのですが、「SMS経由で、メールアドレスもパスワードの確認もなくログインさせた」ことの通知をする仕組みはありません。
仕事柄、日本国外にいることも多いため、「普段と異なる環境からのログイン」と判断されるアクセスがこれまでは全て出張や旅行中の自分のアクセスだったこともあり、この通知も切ってしまっていました。
アカウントの利用履歴や自分のアカウントから送付されたメッセージの送信日時を確認すると、不正アクセスをした人の動きは以下のようだとわかりました。
①SMSの認証を利用してアカウントに不正ログイン
↓
②私のアカウントからメッセージを送るなどする
==(ここまで初日)==
↓
==(翌日)==
③Facebookのログインパスワードを変更する←この時点で初めて、登録しているメールアドレスに「パスワードリセット通知」が届く
↓
④(通知が届き、不正アクセスに気づいた私がパスワードの変更手続きをしているのと同じタイミングで)パスワードの変更を何度も試みる(※)
↓
⑤(私がパスワードの変更に成功し、すぐに登録SMS番号も変更した後)再びSMSでの認証でのパスワードリセットを試みるが、SMS登録番号が変更され旧SMS番号では変更できなくなったことに気づき、諦める?(両者を変更した後に身に覚えのないSMS認証を利用したパスワードリセット通知が届いた)
※不正アクセスに気づいてすぐにパスワードの変更手続きに着手したのですが、不正アクセス者とのパスワード変更合戦になってしまい、4回目でようやくアカウントを取り戻せました。
Facebookのパスワードの変更方法には、「SMSでの認証」「普段利用している別の端末からのログインによる認証」「友達の顔の認証(5人)」の3つの方法があります。
SMSの番号は握られてしまっているため、3つめの「友達の顔の認証(5人)」での認証を試みたのですが、これには5人分の友人の写真と名前を一致させるクイズに答えなければなりません。
当然、不正アクセス者の実行している「SMSの認証(番号の入力)」より時間がかかってしまうため、相手方が先にパスワード変更を完了させてしまうことが続き、こちら側は手続きの途中ではじかれ何度もやり直しました。
「友達の顔の認証(5人)」での認証方法には、一定時間にトライできる回数に上限があり、上限に達してしまったので2番目の「普段利用している別の端末からのログインによる認証」で再度トライしたところ、無事に変更できました。
生のアクセス履歴・環境が丸出しだったため、恐らく狙って計画的に不正アクセスを行ったというより、偶然私の旧SMSの番号を契約した方が偶然Facebookにアクセスできることに気づき、面白がって不正アクセスを続けたりパスワードを変更しようとしたのだと思います。
恐らく本人は自分のユーザ名(←漢字表記の本名)や環境等がこちらから確認できることに気づいてないのだと思いますが、こちらがパスワードを変更しようとしていることに気づいてもアクセスを続けようとしたり、気味が悪かったです。
元々はSMS番号の変更を忘れていた私にも非があるのですが、今は他人のSMSを受信できてしまうツールも出てきていますし、SMSさえ受信できればパスワードや本人確認もなくログインできてしまう仕組みは非常に怖いので、Facebookには早急に改善してほしいなと思います。
今回はたまたま不正アクセス者がパスワードを勝手に変更しようとしたため通知が登録メールアドレスに届き気づくことができましたが、もしそれがなければアクセスされたままだったと思うと非常に怖くなります。
(実際、勝手にメッセージを送付された時間を不正アクセスの開始時間と想定しても、パスワード変更完了まで丸1日以上不正アクセスが可能でした)
今のところパスワード変更後の被害はありませんが、もし何か追加でアクションがありそうなら対応していこうと思います。
≪追記≫
パスワードを変更後に何もなかったと書いていましたが、その後4時間ほど間を開けてまた不正アクセス通知と思われるメールを受領しました。。