少なくとも二段階認証の設定を!
可能なら、認証アプリの使用がお勧め
今回のFacebookアカウント盗用は、Facebookの機能を詐称してIDやパスワードを抜き取り、悪用するという意味で、Facebookの中で起きたフィッシング詐欺の一種と言ってもいいだろう(金銭的な被害は、今のところ発生していないが)。
フィッシング詐欺だとするならば、対策の基本は「Facebook本体のアカウント情報記入欄以外では、アカウントは入力するな」となるのだが、今回の仕掛けでは、Facebookの投稿からダイレクトにインターネット上のフィッシングサイトにジャンプしてしまうため、どれがFacebook内の機能で、どれがFacebook外の機能か見分けるのが、難しい。このようなサイトに対処するには、(対応していれば)認証に「多要素認証」を利用することをお勧めしたい。
多要素認証とは、パスワードだけでなく他の要素も認証の際に利用を必須とする仕組みのことだ。たとえば、ワンタイムパスワード、生体認証、SMS認証などを組み合わせて使える。
Google認証システムの画面サンプル。このようにサイトにごとに入力するワンタイムパスワードが6ケタの数字で表示されるので、要求されたら「Facebook」の欄の数字を入力する Photo:Google Play
Facebookの場合は多要素認証の一種として、「二段階認証」が利用できる。つまり、二つの要素を段階を踏んで使う。第三者がID・パスワードを入手したとしても、不明なデバイスやWebブラウザ (つまり、ユーザーが使っていない端末)からログインしようと試みた場合、もう一段階の認証要素を入力しないとログインできないようにできるのだ。
Facebookでは各種の二段階認証の手段が使えるのだが、筆者が一番お勧めしたいのは、認証アプリを使う方法だ。
認証アプリを入れておくと、ログインする際に、スマートフォンアプリに表示されるワンタイムパスワード(6桁の数字)の入力を求められるようになる。AppStore/Google PlayからGoogle認証システムなどをスマートフォンにダウンロードし、Facebookの指示通り設定していけば、使うのはそう難しくはない。安全性が高く、制約も少ない。
アプリの設定が面倒であれば、手軽なのは、SMS認証だろう。
普段使っているスマートフォンの電話番号を登録しておけば、追加認証(使っていない端末からログインしようとしたときなど)が必要な際はSMSが送られてくる。ただし、SMS認証にしてしまうと、二段階認証に使用している電話番号を使ってのパスワードリセットができなくなるというデメリットもあるので、そこは要注意だ。
