早朝、知人から突然「やられた!」という連絡が。どうやらフェイスブック(FB)を乗っ取られた模様です。最近また増えてるんですよ、FBの乗っ取り。
まずこの場面で試すべきはパスワード(PW)の変更です。まあ高確率で、乗っ取り犯がすでにPWを変えてますから、もしこのタイミングでPW変更できたとしたら、それは相当なラッキーです。ダメ元で試しましょう。
PW変更ができなくても、手元の端末がFBにログイン中なら(稀にログイン状態が継続している場合がある)、友人たちに向け「このアカウントは乗っ取られたよ」と投稿し、タイムラインの画像や友人との対話など、失いたくないデータを手元にコピーします。
実は知人のケースでは、乗っ取られた初期の段階で、FB運営から「メアド変わったの?」とか「お前、問題のある投稿しているぞ」とか「乗っ取られてない?」みたいな警告メールが来ていたそうで、ただ詐欺メールだと思って無視してたらしいです。惜しかった。
この後やれることは、FBのサポートに連絡して件のアカウントを削除してもらうこと(対応しくれるかは微妙ですが)。あとは知人友人を総動員して、乗っ取られたアカウントを通報しまくることです。運が良ければそのアカウントを滅ぼすことが出来るでしょう。
さて、これで一息つくかと思えば……むしろココからが本番。他にFBと全く同じIDPWの組み合わせで登録しているサービスがあるのなら、それら全てのPWを大至急変更して下さい。もう大至急です。そうしないとソッチも乗っ取られますよ。
なぜ乗っ取られた?
ここでやっと一息。実はSNSを乗っ取られる人たちには「共通点」があります。ほぼ全てのサービスで、同じIDPWを使い回している。乗っ取り犯はそんな人たちを狙うんですね。
世の中の様々なサービスの中から「セキュリティの甘い企業」に狙いを定め攻撃、IDPWを抜き取る。そのデータをもとに、FBみたいなメジャーなサービスに対し手当たりしだいログインを試す。IDPWを使い回していれば、当然それらのサービスが「まるっと」乗っ取られるワケです。
これを防ぐには、全サービスのPWをそれぞれ違うものにするしかありませんが、まあさすがに覚えきれませんよね。「なら、パスワード管理ソフトを使えよ」と言われそうですが、過去にその管理ソフト自体が乗っ取られた例もありまして……さて、どうしたものか。
完璧ではないですが、私のやり方はこうです。まずはベースとなるPW、なるべく文字数が多く、でもちゃんと覚えられるPWを決めます。あとは、
ベースとなるPW + 〇〇
自分で決めたルール・法則で、〇〇に2~3文字追加するんです。例えばフェイスブックなら「FAC」とか(実際はもっと複雑にした方が良いです)。
とにかくPWを作り、法則を決め、それを思い出せば何とかなる運用にする。そうすれば、すべてのPWが「ちょっと違うもの」になります。
このやり方、もちろん完全じゃありませんが、パスワードを紙にメモするよりはマシでしょう。乗っ取るような連中は、乗っ取り作業もシステムで自動化していますから、一発で乗っ取れなかったアカウントはあきらめてくれる可能性が高いのです。
ちなみにPWの文字数は、長ければ長くなるほど、1文字でも多い方がセキュリティも上がります。あと記号や数字、大文字小文字を混ぜ込んでも、セキュリティは一緒です。とにかく1文字でも長く、なのです。
言うまでもなく、2段階認証のあるサービスなら、かならずそれを利用し有効化しましょう。
今後、生体認証が一般化すれば、我々はPWから解放されるのでは、なんて言われる方もいますが、実際はその認証が上手くいかなかったときのバックアップ方法、つまりPWは必ず必要になります。残念ながら。
PWとの戦いに終わりは無いのです……
Text:小木曽健(国際大学GLOCOM客員研究員)
※本記事のタイトルはFORZA STYLE編集部によるものです。
