Facebookのメッセンジャーに送られてきた「これを見て」というメッセージ。このメッセージを開いたことから、マルウェアに感染した可能性が出てきて、最終的にChromeの設定初期化まで行う羽目になった体験談です。
なお、本記事の内容は執筆時点のものなので、記事をご覧になるタイミングによっては画面の見た目が違ったり、対策も別のものが必要になっている可能性もございます。最新のセキュリティに関する情報についてはIPAのページ(IPA 独立行政法人 情報処理推進機構)などをご参照ください。
Facebookのメッセンジャーに「これを見て」
友人から届いたメッセージ
Facebook に久しぶりにログインしたら、友人からメッセンジャーでメッセージが届いているのに気がつきました。
それがこちらです。
口調が普段の友人のものとは違うのですが、あり得なくはない感じだなと思います。とはいえ、この時点でスパムである可能性は大きいと考えていました。
開いてみると、このような感じのリンクでした。
タップしてみると、このようにログイン情報を求められました。
パソコンからアクセス
リンク先のURLをスマホだと確認できなかったので、パソコンで同じメッセージを開き直しました。
リンクの中身を確認すると、このようなURLでした。
この、l.facebook.comというページは怪しいものでもなんでもなく、正規のFacebookログインページに転送されるURLです。しかし、その先に追加されている長いURLによって、偽のログインページに転送される仕組みになっているようでした。
アクセスすると、パソコンでもスマホと同様のログイン画面が出てきました。
ここで、疑いなくEメールアドレスとパスワードを入力して先に進んでしまいました。
まず出てきたのはこちらの画面。
そして、次の画面が表示される前に、ウィルス対策ソフトのAvastの警告が表示されました。
スマホからアクセス
スマホではどんな画面が出てくるのか試すことにしました。今度はEメールアドレスではなく携帯番号を入力して、やはり先に進みました。
最初にお見せしたこちらのログイン画面で入力しました。
出てきたのはいかにも怪しいアプリをインストールさせられそうな画面でした。
この時点で、特に怪しいソフトはインストールしていないから問題ないだろうと思っていました(そして、自分のことは棚に上げて、メッセージを送ってきた友人はどういう対策をすべきなのだろうなどと考えていました)。
しかし、この手口をネットで調べたところ、Facebookのログイン画面はフィッシング詐欺を行うための偽物であるという情報が出てきました。
言われてみればその通りで、油断したなと思いました。
そして、そうなると、すでにIDとパスワードがセットで盗まれた可能性があるため、マルウェアを仕込まれていたもおかしくないなと思いました。
Facebook マルウェア
こちらのサイトさんを参考に、
↓
Facebookの動画ウイルスが流行中、対処法を紹介します(Chromeユーザーは要注意) | 福原将之の科学カフェ
自分がマルウェアに感染した可能性を考えて対応することにしました。パスワードを変更すればよいというものではないようです。使っているのがChromeなので、より事態が深刻化してしまいました。
クリックしてしまった際の対処法
に書かれたことを順に行っていきました。
簡単に言うと、マルウェアの確認方法は、
- Facebookのアプリ
- ブラウザ
という2つをチェックする必要があるようです。
Facebook フィッシング詐欺
対処
Chrome以外のブラウザでFacebookにログイン
Chrome には特有の危険性があって他のブラウザを使う必要があるということで、私はパソコンに初めからインストールされていたブラウザ、Edge使うことにしました。
まずはログインします(正規のページであることに気をつけます)。
メッセンジャーのスパムを削除
最初に、メッセンジャーに残るスパムを削除します(今後、誤ってクリックして被害を広げてしまわないためかと思います)。
メッセンジャーを開いて
該当する友人を選んで
メッセージの削除を行いました。
削除されるのは自分だけなので、友人側でも対処してもらう必要がありますね。
不審なアプリの削除
Facebookにはアプリと連携する機能があるのですが、連携しているアプリのなかに不審な物がないかを確認します。
画面右上のボタンをクリックして、「設定とプライバシー」に進みます。
その中の「設定」をクリックします。
少し下にスクロールすると出てくる「アプリとウェブサイト」というタブを開きます。
うまくいくと(※)こちらの画面が開きます。
私の場合、不審なアプリは見当たりませんでした。
※原因が分からないのですが、この「アプリとウェブサイト」のタブを何度か開こうとすると、なぜか画面全体が真っ白になってしまうことがありました。一度ログアウトしてやり直したら、うまく開けました。ここで躓くようなら、次のパスワード変更を先にやってしまった方が良いと思います。
パスワード変更
先ほどの設定画面から、今度は「セキュリティとログイン」のタブを開きます。
パスワードを変更しました。
ちなみに、強力なパスワードが必要なとき、私はこちらのサービスをよく利用しています(パスワードはパスワード付きのExcelファイルで管理しています)。
↓
パスワード自動生成; Automated Passwords Generator
二段階認証の設定
次に、二段階認証の設定を行いました。先ほどのログインの設定のすぐ下で設定できます。
推奨されていたので、認証アプリを使うものを試すことにしました。
認証アプリというのは、iPhoneであればAppストアで検索するとこのように出てくるアプリです。
アプリを開いてプラスボタンをタップして、
バーコードをスキャンします(Facebookの画面に表示されているかと思います)。
すると、こういう形でワンタイムパスワードが表示されます。
これをパソコン側に入力すると、このような画面が表示されました。
ひとまずこれでOKでしょう(不審なアプリの削除を飛ばした方は、必ず行ってください)。
バックアップの二段階認証の設定(おまけ)
もはや面倒くさくなっているわけですが、Facebookがやってほしがっているようなので、バックアップ方法の追加も行いました。今度は、先ほど選ばなかった電話番号による認証です。
ショートメッセージで送られてきたパスワードを入力すると、このように二段階認証が2つ設定された状態となりました(めでたしめでたし)。
Chromeの設定をリセット
これで終わりではなく、使っていたのが Chrome だったがゆえに(Chrome の拡張機能が悪用されるケースがあるようです)もう一つ作業があります。
それが、Chrome の設定のリセットです。
まずはブラウザの右上をクリックして「設定」を開きます。
下の方にスクロールすると出てくる、詳細設定を開きます。
すると、「リセットとクリーンアップ」というところがあります。
ここで、「設定を元の既定値に戻す」をしていくのですが、そうすると入れている拡張機能が全て削除されてしまいます。
なので、必要なものを後から追加し直せるように、事前に何が入っているのか確認しておくと良いでしょう。URLバー右のパズルのピースのようなマークをクリックします(拡張機能を入れていない場合はマークが出てきません)。
私の場合はこんな拡張機能が入っていました。今は使っていないものばかりです。
確認できたところで、「既定値のリセット」を行いました。
もう一つ、「クリーンアップ」というメニューが追加されていて、こちらがアドウェアなどの確認ができる機能のようです。こちらも実行してみました(これをやれば「既定値のリセット」は必要ないという可能性もありますが、念のためやっておきました)。
実行中はこんな画面になります。
こちらは少し時間が必要で、3分ほどかかりました(利用者の状況によって処理時間が変わってくると思います)。
完了するとこのように出てきます。
有害なソフトウェアが見つからなかったということで、一安心です。
スマートフォン側の対応について
ここまでパソコンの対応しか書いてきませんでした。情報セキュリティに関する情報発信をしている機関、IPAでFacebookの動画ウイルスに関するページがあり、スマートフォンでの対処法が書かれています。
↓
今回私は、
Facebookのアカウントとパスワードを入力してしまった場合
に相当しますが、
* 至急、Facebookアカウントのパスワードを変更してください。またFacebookの二段階認証を設定することを推奨します。
の対応をすぐに行っているので、スマートフォンでやることは特にないと思われます。
これは人から聞いた真偽不明の情報なのですが、
- アプリを一度アンインストールすると良い
- スマホの初期化をすると良い
というのがありました。私はこれらは不要だと考えています。
もし、必要な根拠(2つ目はやれば安心というのは分かるのですが、特に1つ目について)をお持ちの方がいらっしゃったら、教えていただけると幸いです。
最後に
反省
今回、私はフィッシング詐欺と思われるページでIDとパスワードを入力してしまいました。
どうしてすんなりと入力してしまったのかを考えると、
メッセージのリンク先が「l.facebook.com/~」と正規のFacebookを装っていた
というのが一番でした。
また、パソコンから見たときに、
オートフォームでメールアドレスが入力された
というのも何も考えずに入力してしまった要因かと思います。
こちらはパソコンで開いたログイン画面です。
ここで、この画面がフィッシング詐欺の画面である可能性に気が付けなかったのは大きな不覚でした。まず、URLが(l.facebookで始まるURLにアクセスしたはずなのに)facebookではなくapp.clickfunnnels.comで始まるものになっている点、一番下の年が、現在の2020ではなくて2019になっていることなどで、違和感をもつべきでした。
「リンク先はFacebookの正規のページだが、その正規のページ内で、マルウェアに誘導する書き込みが存在しているのだろう」という思い込みがあったのだと思います。
そして、オートフォーム。
入力の手間を大きく省いてくれる便利な機能なのですが、勢いでフィッシング詐欺のページにまで入れてしまわないように注意が必要です。
私は結局、スマホからは携帯の電話番号を、パソコンからはEメールアドレスを入力してしまったという、なんとも情けないことになってしまいました(これから迷惑メールがバンバンとどかないか不安です)。
注意喚起
私はIT業界で働いていたこともあり、セキュリティーに関する知識は一般の方よりも持っていると思うのですが、それでもこんなに簡単にIDとパスワードを入力してしまうことがあるのだと、自分でも驚いています。
皆さんもくれぐれもお気をつけください。
なお、フィッシング詐欺のページの場合、適当なIDとパスワードでも次のページに進めてしまうことがよくあります。やってみたら、今回のメッセージのリンク先もそうでした。
適当なIDとパスワードで何度かログインを試したところ、リンク先は色々な広告先に変化するようになっていました。つまり、フィッシング詐欺と、広告リンクという2つの目的をもっていたのだ思います。
懸念していたマルウェア感染については、確認した限り(Facebookで不審な連携アプリと不審なログイン履歴が存在せず、Chromeのクリーンアップも問題なかった)は大丈夫だったのかなと思います。
最大の自衛は、怪しいリンクはクリックもタップもしないということです。普段メッセージのない友人からこのようなメッセージが送られてきたら、リンクをクリックする前に友人が送ったものかどうか確認するようにしましょう。