レイバンをばら撒くだけじゃない!? Facebook乗っ取りの恐怖

前回の記事で、安易に診断アプリをするとFacebookのアカウントを乗っ取られ、レイバンの広告をばら撒いたりすることについて説明しました。

 

が!

 

診断アプリの恐ろしさは、そんな生ぬるいものでは終わりません。今回は、その先に予想される恐怖について説明します。

 

前回記事で、診断アプリを利用する際の、この画面のご説明をしました。

 

この画面で一番恐ろしいのはどこか、説明しましょう。

 

ここだ!

「メールアドレス」の情報を取られていることが、一番恐ろしいのです。

 

「メールアドレスを取られるのが、なんでそんなに怖いのよ? 誰かにメールする時は、当たり前に教えている情報でしょ?」

そう思いましたね? ではそれについてご説明します。

 

メールアドレス=IDであることが問題!

Facebookにログインする時は、メールアドレスとパスワードの2つを入れてログインしますよね?
つまり、メールアドレスが「ID」として使われているのです。

したがって、「ログインするために必要な情報の2つのうち、1つを渡してしまっている」のです!

そうすると相手は、もう1つさえ突き止めれば、Facebookにログインするための情報をすべて得ることができてしまう訳です。

そしてそれは、簡単です!

 

パスワードを突破する、恐ろしい方法2つ

スパム業者は次のような方法で、パスワードを突破してきます。

辞書型攻撃

誰でも予想できるような「12345678」や「password」のような語句をパスワードにしている人は、いまだ多くいます。
スパム業者はこのようなパスワードに使われやすい語句を、一覧にして持っています。(これが、スパム業者にとっての「辞書」)

IDの方がわかっているので、これらの語句で順番に認証を試して行き、突破する方法です。

総当り攻撃

「ブルートフォースアタック」とも言います。
考えられる文字の組合せを、片っ端から試して行く方法です。
自転車のチェーンロックで、4桁の数字を合わせて開錠するものがありますよね? あれを、0000から9999まで、全部やってみるイメージです。

人力でやるとたいへんですが、これを自動で行うプログラムがあるのです。簡単なパスワードなら、ものの数秒で突破されてしまいます。

総当り攻撃をやっている動画をご紹介します。

このようにIDさえわかってしまうと、パスワードの方は比較的簡単に突破されてしまうのです。

 

Facebookだけでなく、他のサービスまで乗っ取られる!?

恐怖はこれで終わりません。Facebookだけでなく、他のサービス(Twitter、Google、Yahoo!、mixiなど…)まで、乗っ取られる可能性が出てきます。

何かのアカウントを作る際、「同じID、同じパスワード」で作ってしまうこと、多いですよね?
本当は避けなければいけないのですが、IDとパスワードの管理は面倒なので、どうしても同じものを使いがちです。(いわゆる「パスワードの使い回し」です)

すると、あなたのIDとパスワードを得たスパム業者は、次に何をするでしょうか?

 

そうです! 他のサービスでも、同じIDとパスワードで乗っ取れるのではないかと、試し始めるのです。

1つのサービスで得たIDとパスワードを突破口に、他のサービスのアカウントまで乗っ取られてしまう訳です。
これを、「リスト型攻撃」と言います。「この人は、このIDとパスワードを使っている」ということをリストとして持っておき、それを他のサービスでも試して行くのでこう呼ばれます。

 

さらに恐ろしいのは、「乗っ取られたアカウントが多くなれば多くなるほど、さらに情報を抜き取られて行く」という点です。

Facebookでもそうですが、生年月日の情報を登録する場合がありますよね?
あるサービスでは生年月日をパスワードにしていなくても、それを乗っ取られて生年月日の情報を抜かれたら、他のサービスで「こちらでは生年月日をパスワードにしているのではないか?」と推測され、突破される可能性がより高くなってしまう訳です。

このように、ドミノ倒し的にどんどん乗っ取られて行く可能性があります。

 

ここまでご説明してきたことが、すべてFacebookの診断アプリで起きる訳ではありませんが、診断アプリがその起点となることも充分にあります。
やっぱり、やらないにこしたことはありませんね。

ではまた~(  ̄∇ ̄)