Facebook の乗っ取りを経験しました。乗っ取られた場合の対処法を記しておきます。

  1. パスワードが変更されていたので,パスワードリセットを実行 (自分のブラウザの Facebook サイトがログイン中の場合)
    【操作】 画面右上▼ ⇒ 設定 ⇒ 画面左メニュー:セキュリティとログイン ⇒ パスワード変更:[編集]ボタン ⇒ 「パスワードを忘れた場合はこちら」
  2. 自分以外のログインセッションを遮断する
    【操作】 画面右上▼ ⇒ 設定 ⇒ 画面左メニュー:セキュリティとログイン ⇒ ログインの場所:右の: ⇒ ログアウト

 以下,皆さんの参考になればと思い,事の経緯を書き残しておきます。

 14時過ぎ,頭痛で会社を休み自宅にいたのですが,最低限の仕事を進めておこうと自宅で社用PCにアクセスしていました。同僚から「Facebookでメッセージ送りました?」とチャットが来たので「送ってないけど?」「乗っ取られてるかもしれませんよ」のやり取りの後,私物PCで確認したら「いま,暇かい?」などの不審なメッセージが多数の友達の皆さんにばらまかれていました。明らかに不審な感じなので皆さん気づくと思い,放っておいてもいいかと思いましたが,あわや LINE 乗っ取りされそうな人が出てきたので,これはまずいと思い,Messenger で皆さんに「これは乗っ取りです」と送ったり,自分のフィードに「乗っ取られた」と投稿したりして,状況をお伝えしました。

 並行して,どう対処したらいいか Web 検索で調べていましたが,パスワードが変更されていたため,いま開いているブラウザを閉じてしまうと2度とログインできなくなる可能性があり,Web 記事も「パスワードを変更して」というものばかりで「もう敵に変更されてるんだけど…」と,やや思考停止状態に陥ってしまいました。コールセンターに問い合わせるしかないか,とか,アカウントを捨てるしかないのか,とか考え過ぎてしまい,パスワードをリセットすればいいと気づくのに30分近く要してしまいました。乗っ取りに気づいてから,乗っ取りを追い出したと確信できるまで1時間半くらいかかりました。

 Facebook の乗っ取りはないだろうと高をくくっていたので,対処が少し遅れてしまいました。Facebook のパスワードリセットという策に気づけば,リセット自体は比較的容易にできて,さほど時間はかかりません。私はブラウザで Facebook を常に表示させているので,パスワードを変更されていたにもかかわらず,メッセージ送信,フィード投稿,パスワードリセット処理を実施できたので助かりました。もし,乗っ取られた時点で Facebook にログインしていないと,パスワードが変更されているので自分がログインできず,パスワードリセット処理が上記 1. よりもう少し面倒な手順になると思います。常時ログイン・常時表示は賛否両論あるところですが,今回のケースでは自分の操作がブロックされなかった点では良かったです。

 被害としては,Messenger でメッセージをばらまかれただけでした。とはいえ,そのメッセージが LINE 乗っ取りを企てたもので,うっかり携帯番号を教えてしまった方もいらっしゃいました。乗っ取られた側が言うべき立場ではないのですが,今回のメッセージに関しては,平日の昼間,素っ気ない一言,この2点から怪しいと感づいていただければと思います。私がメッセージを送るときは,必ず数行かけて丁重な(?)文章にしますので,今回のようなケースは乗っ取りと判断していただきたいと思います。

 乗っ取られた原因はわかっていません。パスワードが解読された可能性は低いと思うので,何らかの手段でパスワードリセットを仕掛けられてしまった可能性が高いかなと推測しています。めんどくさがって二段階認証を OFF のままにしていたのが甘かったです。今回を契機に,二段階認証を ON にするなどして,乗っ取りのリスクを下げました。

 改めて,乗っ取り者のメッセージによりご迷惑をおかけいたしましたことを,お詫び申し上げます。また,多くの方から,チャットやメール等で不審メッセージの件をご報告いただき,ありがとうございました。今後,乗っ取りが起こらないよう管理を強化してまいります。皆さんも,不審なメッセージにはくれぐれもご注意願います

 私は以前 Apple ID でも乗っ取られたことがあります。そのときはパスワードリセットの際「秘密の質問」が必要で,その答えが受理されずに自分でリセットを行うことができなかったので,ヘルプデスクに電話して本人認証を行いましたが,丸1日以上かかった記憶があります。その間に乗っ取り者にいろいろやられたら…と思うと気が気ではなかったです。今回の Facebook の件は1時間半で解決したとはいえ,肝を冷やすのは同じです。こういう経験をしないで済むように,面倒でもセキュリティの設定に関しては時間をかけてでも理解し,最適な設定をしなければなりませんね。皆さんは,私の例を他山の石としていただければ幸いです。