Facebookでは2週間前のハッキングにより3000万人のアクセストークンがリークしたことを発表している。まず読者のアカウントが被害にあっているかどうか確かめ、被害にあっていたら対策しておこう。
- 次のリンクからFacebookのヘルプセンターを訪問する(ログイン状態であることが必要) https://www.facebook.com/help/securitynotice?ref=sec.
- 下にスクロールして“Is my Facebook account impacted by this security issue?”という行を探す〔空行の後に大きな文字で書かれている〕。
- 読者のアカウントがハッキングされた3000万に含まれていたかどうかはYesまたはNoで示される。もしアカウントがハッキングされていた場合は、下のスクリーンショットのような警告がニュースフィードにも表示されるはずだ。
- 判定がYesだった場合、アカウントは以下のいずれかのカテゴリーのハッキングを受けている。
A. 氏名、メールアドレス、電話番号がアクセス可能だった(1500万アカウント)。.
B. Aのデータに加えて以下の情報がアクセス可能だった(1400万アカウント):ユーザーネーム、性別、住所、言語、交際関係、宗教、出身地、居住地、生年月日、投稿に使ったデバイスの種類、学歴、職歴、チェックインないしタグ付けされた最新の10箇所、運営するウェブサイト、フォローしている人々あるいはページ、直近の15回の検索。
C. アクセストークンは盗まれたが、幸運にも、それを使ってアクセスされたことは一度もない(100万アカウント)。
アカウントがハックされていたとわかった場合、どうすべきか?
- どのカテゴリーのアカウントであってもFacebookのパスワード、クレジット情報を変更する必要はない。これらの情報がハックされた形跡はない。
- メールやメッセージへのスパムに注意。ハッカーが盗んだデータを不注意な企業に売り渡している可能j性がある。.
- フィッシングに注意。リーク情報を利用してメールを送りつけ、偽のアカウントにおびき寄せてパスワードを入力させようとするフィッシングの試みが増加する可能性がある。Facebookから送信されたように見える不審なメールがあった場合、真正なものかどうかこちらから確認できる。
- カテゴリーBのユーザーは経歴がアクセス可能になっていたので、口座を持っている銀行と契約している携帯電話会社に連絡してセキュリティーを強化しておこう。ハッカーは盗んだ情報を利用し、電話などで巧みに本人になりすますかもしれない。詳細な経歴を知っていれば「秘密の質問」に正しく答えるなどのソーシャルエンジニアリングが可能だ。
ハッカーがユーザーのアカウントを盗むことができれば、本人になりすまして連絡先にスパムする、ソーシャルメディア上のハンドル名を知って企業に売るなどができる。また登録された携帯電話の番号を自分の携帯電話の番号に変更して2要素認証を破ろうとする可能性もある。「秘密の質問」や暗証番号を変更しておくのはよい考えだ〔経歴に記載されている生年月日その他の数字、テキストをパスワードや暗証番号に利用しない〕。
またFacebookのアカウントに登録中のデータをチェックし、そのすべてがそこに置かれている必要があるかどうか見直しておこう。
画像: Bill Hinton / Getty Images
〔原文へ〕