パスワードを忘れた? アカウント作成
9431340 story
Facebook

Facebookで友人と「同姓同名」のアカウントが多数出現中 41

ストーリー by hylom
ドッペルゲンガー大量出現 部門より
あるAnonymous Coward 曰く、

Facebookで、自分の友人と「同姓同名」のユーザーからの友人申請が相次いで起きている模様。タレコミ子も、自身は被害にあっていないものの、その友人何名かの偽物が登場しているのを確認している。

日経ITproによると、これはアカウント乗っ取りを狙ったものらしい。Facebookではパスワードなどを忘れてログインできなくなったときのための認証として、「自分の3人の友人に認証してもらう」という機能がある。これを悪用し、友人になりすました攻撃用アカウント3人と友人になった時点でこの機能を使ってアカウントの乗っ取りを謀るというのである。

Facebookでは実名が使われていることが多いため、逆に不審なアカウントでもそれに気付かずに友人申請を許可してしまう、といった例が多いようだ(実際、タレコミ子の周囲でも誤って友人申請を許可してしまったユーザーが少なからずいた)。ネット上アカウントの実名匿名議論は昔からあるが、実名にはこのようなデメリットもあるということか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hiro_1239 (19227) on 2013年07月11日 12時44分 (#2419452) ホームページ

    >「自分の3人の友人に認証してもらう」という機能
    なぜそんな開けっ放しの勝手口のような機能をつけるのか

    • by taka2 (14791) on 2013年07月11日 13時12分 (#2419474) ホームページ 日記

      本来の機能としては、最近始まった新機能は「信頼できる連絡先」として登録できる3~5人の友人 [facebook.com]の助けを借りてパスワード再設定する機能なんですよね。
      まあここまでなら、「信頼できる友人に、いざという時のために合い鍵を渡しておく」ってことで、そういう選択をする人がいてもいいでしょう。

      問題なのは「信頼できる連絡先」として登録されている人がいない場合。
      その時は「普通に登録された友人の中から任意の3人」の助けによってパスワードが再設定できる [facebook.com]、となっているのです。
      「合い鍵は誰にも渡しておかない」という選択肢が選べないという腐った仕様です。

      対策としては、とにかく三人の信頼できる連絡先を予め登録しておくことしかないでしょう。
      #まあ、互いに面識のない方面で3人選ぶしかないのかな。

      親コメント
      • そういう仕様にするあたりに、実にfacebookらしさが出ていると感じる…
        親コメント
      • by Anonymous Coward on 2013年07月11日 13時58分 (#2419517)

        手法としてはちょっとアレですが、
        架空の信頼できる友達を三人作っておいて機能を実質的に無効化するってのが安全でしょうね。

        親コメント
      • by Anonymous Coward

        一人か二人のほうがよくない?
        信頼できるって思っているだけで、どう行動するかなんてわからないし、Facebookごときで再設定できる機能なんていらない

        • by Anonymous Coward

          1人だとその人が裏切ればアウト。
          2人以上なら1人が裏切ろうとしても残りの人と結託できなければセーフ。
          2人だとちょっと心許ないし、4人以上だと設定・管理が面倒になってくるから、3人というのは適切だと思う。
          3人を選ぶときには、なるべく互いに面識を得ることがなさそうな人同士を選ぶべき。

      • by Anonymous Coward

        よく分からないのですが、
        「信頼できる友人」だと「3~5人」、
        「そうでない友人」だと「3人」
        ってのは、
        「信頼できる友人」より「そうでない友人」の方が信頼するに足るってことなんでしょうか?

    • by skapontan (35455) on 2013年07月11日 12時54分 (#2419462) 日記

      強引に「友人」にさせられた会社の上司3名が結託すれば、好きにできるよね。

      親コメント
    • by Anonymous Coward

      人数の多いグループ10人ぐらい騙せたら、
      友達の友達辿って、全体を乗っ取れそうですね。

    • by Anonymous Coward

      それは、拡散したい意図があるからでしょう。NSAに。

  • 友人がいなければ騙される心配もない。はい解決!

    • by Anonymous Coward on 2013年07月11日 15時27分 (#2419605)

      名簿屋で名簿を買ってくる。
      ちょっと古い卒業者名簿なんか最適だろう。旧友と長く連絡を取っていない可能性が高いし、年齢や住んでる地域も設定できる。
      実名登録のFacebookで検索し、そのターゲットグループで3人以上の未登録者を選んで、勝手に登録。
      そして登録済みのターゲットに対して友達申請をする。

      懐かしいクラスメートからの申請に喜んで飛びつく。
      しかも、芋づる式に他の二人も来たよ。

      ある日アカウントがロックされる。
      気がついたら乗っ取られ。

      凄い簡単なソーシャルハック。これはやばい。
      可及的速やかにFacebookはこの機能を変更すべき。

      当面できる対策は、友達申請が来ても簡単には承認してはいけないということくらい。

      親コメント
    • by Anonymous Coward

      たぶん友人がいなければfacebookを使うこともないのでは。はい解決!

    • by Anonymous Coward
      そう?
      赤の他人が、キミのプロフィールを使って公然と活動してるとして、そいつが悪事をはたらいたとき疑われるのは、ニセモノのほうじゃなくてキミなんだぞ?
      • by Anonymous Coward

        大変だ、この世のすべてのSNSでアカウント押さえておかなきゃ!

      • by Anonymous Coward

        Facebook上でどんな悪事が働けるというんだ…

        いたずらメールの差出人に自分のアドレスを騙られるのとどれだけ違うんだろう?

        • by Anonymous Coward
          Facebookの中に閉じたトラブルで終われば委員ですけどね。
          仕事や実生活の交友とクロスオーバーしているからこその実名なので、当然ながらそっちにも影響するのです。
          影響したくない/されたくないからこそACを使うのです。
  • by Anonymous Coward on 2013年07月11日 15時07分 (#2419584)

    >実名にはこのようなデメリットもあるということか。
    明らかにこれ実名のデメリットじゃなくてセキュリティが貧弱なだけですよね

    • by Anonymous Coward

      いやuniqueなIDではなく同姓同名の多い実名だから誤って登録しちゃうんでしょ? タレコミくらい読もうよ

      • by Anonymous Coward on 2013年07月11日 16時47分 (#2419654)

        いや、そもそもは実名とか関係なく、いわゆる「表示名だけで相手を判断してる」のが問題なわけだ。
        一応FacebookでもユニークIDはついてる。
        各ユーザーのプロフィールページの https://www.facebook.com/( [facebook.com]ココ)
        たしか、昔はデフォルトでは数値だったはず。登録後に任意に書き換えできる。URLなので他の誰ともかぶらない。
        厳密に相手に自分を伝えるならこのIDを相手に伝えるべきなんだけど、現状名前で判断してるってことでしょ。
        まぁ、twitterと違ってこのIDが表に出ることがほぼないからしょうがないんだけど。 Mention でもご丁寧に実名補完表示してくれるし。

        親コメント
        • by Anonymous Coward

          いやいや、信用を実名で担保しているってのが問題なわけで。
          そこを着いたソーシャルハックであり、セキュリティ上の脆弱性であったわけで。
          軽々しく実名を出すからリアルでの接点や情報(それこそ卒業名簿とか)を元に攻略されてしまうわけで。

          • by Anonymous Coward
            ネットもビジネスの場として使わせてもらってる身にしてみれば、Facebookなんかはもろリアルの場なんだけどな。
          • by Anonymous Coward

            いやいやいや、だから実名だろうが偽名だろうが、それを本人だと信じるなって言ってるんだが?
            システムのセキュリティの問題より、安易に同姓同名を友達本人だと妄信してしまうユーザー側にある。
            だから、直接リアルで友達にURLにあるIDを聞いて確認しろと言ってるわけだ。

            • by Anonymous Coward

              SNS使った事ないでしょ?FBに限らずmixiですら同窓会的に使われてたり、そういう方向性を売りとしてる。
              つまりどーゆーことかっていうと昔学校で同じクラスだったとか、同期生だったとか、そういうリアルですぐに連絡がつかない関係性をSNSでフォローアップしてるんだよ。
              そういった面はちょっとSNSやってれば嫌というほど味わえるので、今回の件のマズさがわかろうというもんだが。

              • by Anonymous Coward

                いやいやいやいや、普通にfacebook使ってますけど。
                だからそういう使い方が問題あるって言ってんだよ!!別の方法で確認とれよってことよ。
                メッセージ機能でお互い共通の思い出でも聞いて確認しろ。
                そういうこともせずに安易に承認して被害にあって文句言うなよっと。

                結局、なんでもすぐに信用しちゃうバカばっかりってことだよね。

    • by Anonymous Coward

      匿名の問題でもなんでもなんものを匿名の害悪であるかのように誘導することのほうが圧倒的に多いけどな。

  • by Anonymous Coward on 2013年07月11日 13時38分 (#2419500)

    わざわざ2回も言うあたり、対岸の火事を面白がってますね。

  • by Anonymous Coward on 2013年07月11日 13時51分 (#2419510)

    Facebookは使ってないのでよくわからないのだが、これって
    ・事前にリアルの交友関係を調べて、友人になりすまして申請する
    それとも
    ・友人リストからピックアップして同姓同名のアカウントをでっちあげて友人申請、
     誤って承認されるのを期待する
    どっち?

    • by Anonymous Coward

      どちらもいけると思うよ。
      承認する側の注意力に依存。
      前者なら見極めは難しい。
      後者なら「アカウント作り直しました」とでも言ったら騙される人多いはず。

  • by Anonymous Coward on 2013年07月11日 13時52分 (#2419512)

    >「自分の3人の友人に認証してもらう」という機能がある。

    友人3人いなかったら、どうすればいいんだ…?
    俺はぎりぎり3人いたけど。

    • by Anonymous Coward

      交友関係を深め広げるのがSNSの醍醐味なんじゃないんですかねぇ・・・

      • by Anonymous Coward

        facebookの場合には実存の交友関係交際関係をネット側から増補するものなのでちょっと違いますな
        リア充はどんどんリア充になるための後押しになりますがゼロであるぼっちはいつまでもぼっちのまま。

        • by Anonymous Coward

          友達0アピールはよく訓練されたリア充の可能性アリ
          気をつけろ

    • by Anonymous Coward

      あっ……(察し)

    • by Anonymous Coward

      3人目どうしようかと思ってたけど『自分』がいた

      # 規約違反です

  • by Anonymous Coward on 2013年07月11日 14時25分 (#2419547)

    以前は見知らぬ美女から友人申請がよく来たものだが、引っ掛かる奴が少なかったのかねえ。

  • by Anonymous Coward on 2013年07月12日 10時01分 (#2420078)

    友人申請してるく、自分の友人と「同姓同名」のユーザーって明らかに偽名じゃね?

    実名制の前提が崩れてる状態で、実名制のメリット・デメリット語るとか意味わかんない。

    • by Anonymous Coward
      申請してるく
      青山テルマ
    • by Anonymous Coward

      別に実名である保証も何もないのにあたかも実名であるかのような幻想を抱かせることによる問題。
      fjで20年も前に実証済みのことをわざわざ繰り返さなきゃわからないんだから人間ってほんと進歩しないのな

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...