「Facebook」タグアーカイブ

Wiredの「Facebookが顔写真認証をテスト中」は誤報のような気がする

これが発端のツイート、「フェイスブックにログインできなくなってると思ったら自撮り写真のアップロードを要求された」という体験なのですが、これをWired が取り上げて、フェイスブックが顔写真をCaptcha とした本人認証を実験中、みたいに報じ、他メディアもそれを参照する形で追ってるわけです。

しかし、7か月前にredditでまったく同じ体験が公開されていますし、フェイスブックのサポートコミュニティでも顔の映った写真をアップロードしろと出てきましたが、どうしてですか?というFAQ として公開されています。

自分の写真をすでにたくさん上げているユーザーなら、それらと同一人物か判定することも今ならできなくはないでしょうけど、写真をアップロードしたかどうかに関わらずこれは発動している(どちらかというと、二つ目のアカウントを使おうとしたら、とか、家から遠く離れたところでログインしようとしたら、とかの事例が多い)ので、AIで本人確認とかそういう高度な話ではなく、免許証のコピーをアップロードさせるとかと同じく、「スパマーやなりすましなら時間をかけて対応してこないだろう」という、以前からやってる人力確認の話ではないかなと思うんですよね。

「あなたの友達を助けて」でFacebookアカウントを乗っ取る攻撃

Accessnow が新種のフェイスブック乗っ取り攻撃の流行を警告しています。

今回流行している手法は、Facebook のヘルプにもある、「信頼できる連絡先」を使ったアカウントへのアクセス回復機能の真似をするというもの。

これは、Facebook 上で選んでおいた信頼できる友人/連絡先の協力を得て、パスワード忘れなどの時にアカウントに再アクセスするというものです。今回の攻撃は、この機能を使っている「かのように」見せかけることで別の重大な情報を奪取しようとします。

手順が図で紹介されています。

  1. 攻撃者はまず、ターゲットの知り合いのアカウントを(例えば今回の手法で)乗っ取ります
  2. 次に、ターゲットのアカウントの復活を Facebook 上で申請します
  3. Facebook は2段階認証のため、ターゲットに SMS を送ります
  4. 同時に、(1の)ターゲットの知り合いアカウントから、「アカウント復活にそのコードが必要」とメッセージします
  5. ターゲットは、SMS のコードが(自分のアカウントの再設定用ではなく)知り合いのアカウントを復活させるために必要と信じ、コードをその友人にメッセージします
  6. 攻撃者は SMS のコードを使ってターゲットの Facebook アカウントを奪取できます
  7. 攻撃者は、乗っ取ったターゲットのアカウントを使ってターゲットの知り合いに1.から同じ攻撃を繰り返します

今はまだ英語による攻撃が流行しつつある状態だそうですが、同じことは日本語でも当然できてしまうので、近いうちに同様の攻撃が届くかもしれません。

信頼できる連絡先を使ってのアカウント回復では、数名の友人にバラバラにコードが送られて繋げて使うのですが、回復に使うコードがどんなものか知らなかったり、以前に経験していても忘れてしまったりするでしょうから、友達からタイミング良く偽メッセージが来たら、うっかり教えてしまう人もいるでしょうね。

知ってると知ってないでは騙されやすさもかなり違うと思うので紹介しました。

トランプ大統領夫人のメールアドレスをFacebookから探し当てたハッカーの手法

ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。

ベルギー北部の人口8万人の町アールストを愛する Inti De Ceukelaire さん(@intidc)は、トランプ大統領のベルギー訪問にあわせて、夫人に「ベルギーのラスベガス、ただし金持ちとカジノとホテルは無い」アールストを訪問することを薦めたメールを送ったそうです。

昔からある「メールアドレスからFacebookアカウントを見つける」話ではなく、「Facebookアカウントを持ってる人のメールアドレスを当てる」話です。

必ずアドレスがわかるわけではなく、人によってはアドレスがわかってしまうかもしれないヒントが得られるということなのですが、その手順はこんな感じ。

ログインしてない状態で、「アカウントを忘れた場合」をクリックします

「アカウントを検索するには、メールアドレスまたは電話番号を入力してください。」と言われるのですが、ここでメールでも電話番号でもなく、名前を入れます。

そうすると、合致したり似ているユーザーが出てくるので、

ターゲットを選ぶと、こんな風に、アスタリスクで色々隠されたメールアドレスが表示されるというわけ。

ドメイン名の方は、@gmail.com などだとそのまま表示されるようですし、@y****.c*.jp みたいに隠されていても、よくある無料メールのドメインなら「あ、@yahoo.co.jp だなこれ」とわかることもあるでしょう。

アカウント名の方はというと、 c******8@ みたいに、先頭と最後の文字が表示されるようです。

メラニア夫人のメールアドレスがどんなものだったか、は@intidc さんもモザイクで隠しているのですが、当てることができたということは、ドメインはトランプ氏の関連のものかアメリカ政府関係のものか、あるいはgmail や yahoo mail 等のメジャーなものだったのかもしれません。

そして、アカウント名の方も、たとえば m*****a@ みたいな名前そのままとか、m*******1@ のように名前+数字数桁、が推測できるようなものだったのかもしれません。@intidc さんはスクリプトを回してメールが届くアドレスを探したようなので、後者のように総当たり可能なレベルで明らかなアカウント名だったのでしょうか。

名前等から推測できず、同じ人がツイッターやインスタグラム等別のサービスで使っているアカウントと同一でもなく、極端に短く(3文字で先頭と最後がばれたら後は簡単です)もなければ、必ずメールアドレスがばれる、という話ではなさそうですが、人によっては隠しているつもりのアドレスがまったく知らない他人に推測されてしまうこともありそうです。

via HLN.be via TheNextWeb

Facebook、バグによってCEOマーク・ザッカーバーグ氏の死亡を伝える

このバグはひどい

創業者ザッカーバーグ氏をはじめ、複数の有名人のFacebookプロフィール上が「追悼アカウント」とされ、故人を悼むメッセージが表示されていたということです。

マークを愛した人々が、共有された追憶と称賛で心慰められるよう願います。

We hope people who love Mark will find comfort in the things others share to remember and celebrate his life.

「何人が若死にした? 僕も死んだよ」という人も。

有名人や自社の社長だから騒ぎになってすぐ訂正されましたが、もしかしたら一般人でFacebookに殺されたままの人というのも、もしかしたらいるのかもしれないですね。

フェイスブックCEOマーク・ザッカーバーグ氏のプライバシー防衛術

Facebook社が大金をはたいて買収した、スマートフォン写真共有サービス Instagram の月間ユーザー利用数5億人突破したということで、Facebook 創業者でCEOでもあるマーク・ザッカーバーグ氏がFacebookアカウントで祝意を寄せています。

この写真を見てChris Olsonさん(@topherolson)がツイッター上で指摘したのは、ザッカーバーグ氏の使っているラップトップの様子。

  • カメラがテープで塞がれている
  • マイクがテープで塞がれている
  • メールクライアントは Thunderbird

zuckerberg-laptop-with-camera-taped

ソーシャルでの写真の共有を、そして最近は動画の共有を強力に推進しているフェイスブックの長としてどうなんだ、という話もあるでしょうけど、常に注目される富豪&有名人としては、身の回りの情報が間違っても他者に収集されないように気を配る必要があるのかもしれませんね。

セキュリティのチェックをしてくれる有能なスタッフがまわりにたくさんいるであろう氏がここまでの注意を払っているのですから、大事な情報を扱っている人はラップトップやスマートフォン等のカメラやマイクは塞いで置くことも検討したほうがいいのかもしれません。

Facebookが母の日専用の花アイコン「感謝!」をテスト中

フェイスブックのいいね! のリアクション、「うけるね」「悲しいね」など現在は6種類から選べますが、

facebook-reactions

ソースコード中に花アイコンと「感謝!」の文字が追加されているのを、ツイッターユーザー @sreedevsharma さんが発見しています。

実際ソースコードを見ると、is_visible: false (見えない)という状態で感謝のリアクションが含まれていますね。

The Verge がフェイスブック社に問い合わせたところ、「母の日を祝って、いくつかのマーケットで花を贈るリアクションをテスト中です」という回答を得たとのこと。

「アメリカでは有効にならない」とも言われたそうですが、日本は母の日もアメリカと同じ今週末ですし、ソースコードは日本語も対応(「感謝!」と入ってます)しているので、日本語ユーザーは日曜にこのリアクションが使えるようになるのかもしれません。

一時的な特別リアクションらしいですが、一回つければその後もつけた記事にはこの花が表示され続けるようです。

特定の日だけ使えるようなリアクションの話は今回初めてだと思いますが、これがうまくいけば、いろいろな記念日で特別なリアクションが用意されるようになったりするのかもしれません。

[追記 2017-05-19] 2017年も、日本のユーザーに対して母の日一日限定でこの「感謝いいね」が有効になっていたようです。