Facebookやtwitterのログイン情報は簡単に盗まれてしまうので要注意! – 現在できる限りの対策を
Facebookやtwitterが普及する中、今そのログイン情報が常に漏洩の危険にさらされています。
以前、FiresheepというWi-Fiネットワークを飛び交うFacebookやTwitterのログイン情報(ユーザー名とパスワード)を抽出するアドオンが公開された際には、そのことが話題になりました。
ところが、今度はさらに強力なFaceniffというアプリケーションが公開されたのです。
このFaceniffは、Facebookとtwitterだけではなく、なんとAmazonやYouTubeのアカウントまでをも自動的に抽出します。
しかも、このアプリケーションはPC用ではなく、Androidスマートフォン用なのです。
前者は、PCを持ち歩かなければ飛び交うログイン情報を収集できなかったのですが、このFaceniffでは、普段持ち歩くAndroidスマートフォンにインストールして持ち歩くだけで、町中をWi-Fiネットワークを介して飛び交うログイン情報を自動的に収集するのです。
すなわち、スマートフォンをポケットに入れて町を歩き回るという、当然ですが一見自然な行為だけで、他人のログイン情報を手に入れることができるということです。
ここで重要なのは、もし、あなたのログイン情報が盗まれたとすれば、盗まれるのはそのアカウント情報だけではすまないと言う事です。
特にFacebookでは、自分の友達に対して、EメールアドレスやメッセンジャーのIDだけではなく、現在の住所や電話番号、勤務先、写真といった数多くの個人情報を公開・共有する機能があります。(いわゆるCentral Address Bookという機能です。)すなわち、あなたのログイン情報が盗まれるということは、同時にあなたの友達の個人情報すべてが盗まれると言う事なのです。しかも、最新の新鮮な情報が、です。
ログイン情報を盗む人間が賢ければ、それら人間関係の情報も同時に盗むはずです。それら犯罪者は、Facebookがソーシャル広告に活用しているような、電子的に保存されているあなたの人間関係、すなわち「ソーシャルグラフ」自体に大きな価値を感じるでしょう。
盗まれるアカウントの友達登録数が多ければ多いほど、同時に芋づる式に盗まれる個人情報が多くなってしまいます。
いずれにせよ、Facebookやtwitterの利用に限らず、オープンなWi-Fiネットワークの利用自体に一定のリスクが伴うのですが、それらを踏まえた上でも今のうちにできる限りの対策を施すことをお進めします。
それが、HTTPS接続によるFacebookとtwitterの利用です。
HTTPSによる接続を利用するには、自分で設定する必要があります。以下のその設定方法を示します。
FacebookでのHTTPS接続の設定
まず、Facebook.comにログインした上で、右上メニューの「アカウント」から「アカウント設定」を選択します。
次に、「アカウントのセキュリティ」の右にある「変更」をクリックします。
すると、以下のようなセクションが開きますので、「セキュアな接続(https)」の「利用できる場合は、セキュアな接続でFacebookにアクセスする」にチェックを入れて、「保存」をクリックしましょう。
これで、次回からはFacebook.comにログインすると、自動的にhttps://facebook.com/を標準として利用する事になります。
この設定を行うと、一応、PCのブラウザから利用する限りは、最低限のセキュリティが確保されます。
ちなみに、このページにある「アカウントアクティビティ」のセクションでは、もし誰かがあなたの知らない環境から勝手にログインしていた場合、そのことがわかりやすくなっています。
Facebookで少しだけ面倒な点
このHTTPS接続を標準にすると、少しだけ面倒な点があります。それは、HTTPSに対応していない外部ページを読み込むようなFacebook Page(旧Fan Page)に接続すると、以下のようなメッセージが表示される点です。
一旦「続行」を押すとそれらPagesは表示されます。しかし、いったんログアウトするまでは、すべての接続がHTTPSがHTTPに戻ってしまっているので、先ほどの設定に全く意味がなくなってしまいます。
それでもそのPagesが見たい場合は、見た後に再度ログインし直す必要があります。
しかし、本当にセキュリティーを重んじるのであれば、対応していないFan Pagesはセキュリティが確保されてない環境では見ないほうが良いでしょう。
twitterでのHTTPS接続の設定
まず、twitter.comにログインした状態で、右上のユーザー名をクリックしてメニューを表示し、「設定」をクリックします。
次に、画面の下の方から「HTTPSのみ」というセクションで、「HTTPSを常時使用する」にチェックを入れて、「保存する」をクリックします。
この設定を行うと、Facebookの場合と同様、PCのブラウザから利用する限りは、最低限のセキュリティが確保されます。
サードパーティー製のアプリからの利用は?
では、サードパーティーが提供する、iOSやAndroid用のアプリケーションはどうなのでしょうか?
それは、その「アプリ次第」となります。
アプリによっては、HTTPSを用いた接続を利用するためのオプションが用意されていることがあります。しかし、それが用意されていないことも少なくありません。
ちなみに、Facebookが提供するオフィシャルのiOS用Facebookアプリや、twitterが提供するオフィシャルのiOS用twitterアプリではその設定項目がありませんし、Web側で設定したHTTPS接続がそちらにも反映されているかは定かではありません。
ですので、ご利用のアプリに説明や設定が見当たらない場合は、最終的には利用を継続する前にデベロッパーに相談するしかありません。
私の経験では、数多くのメジャーなサードパーティー製twitterクライアントアプリにはHTTPSによるAPI接続設定が用意されています。できるだけそれを利用するようにしましょう。
なぜHTTPSを標準にしないのか?
では、なぜtwitterやFacebookはそのHTTPS接続を標準にしないのでしょうか?
運営側は、HTTPS利用によるページのロードスピードの低下によりユーザーの利便性を妨げると言ったような理由をあげる場合もありますが、場合によっては標準にしない理由については一切触れないことも普通です。
その裏では、実際にはユーザーに言いづらい運営側の都合もあります。
HTTPS利用では、第一にユーザーの体感ストレスが上がるため、利用頻度や滞在時間が短くなり、果てには有料サービスの購入率の大きな低下に至ります。
さらには、HTTPS接続はサーバー側でHTTP接続よりも大きなCPUリソースを消費するため、それを標準としてしまうと運営コストが格段に跳ね上がります。
実際にはそれらの理由の方が大きいというのがホンネでしょう。
これが10年前であれば、パケットを盗み見してログイン情報を盗むといったような行為は、一部のソフトウェアを持っている一部の人間にしかできないことでした。
しかし、Wi-Fi接続がここまで普及して、さらにはそのようなこと(Sniffing)が簡単にできてしまうツールが無料で、しかも簡単に持ち歩けるスマートフォン用にも公開されるような時代になってしまったと言う事です。
私に限ってそんな情報が盗まれることはないと思う・・・ということがもう通用しない時代になってきました。
サービス運営側が完璧には対応してくれない限りは、自分で自分の身を守るしかありません。そして、普段からのソーシャルネットワーク利用が当たり前になった今日では、あなただけではなく、あなたの友達の身も同時に守らなければならないようです。
え、こええええ