乗っ取りメッセージとパスワードの話

ついこの間、Facebook乗っ取りされた友達アカウントからのメッセージが来たので公開します('ω')

唐突に「このビデオはいつですか？」という日本語と共に何かのリンク。

タップしたらまたFacebookっぽい画面でIDとPASSを入力求める画面へ移行します。

これそのまま入力すると、そこで使用するIDとパスワードが相手へ渡ってしまいます。

それがそのままFacebookだけのパスワードならFacebookが乗っ取られるだけで済むんですけど、世の中結構IDとパスワードを使いまわししているじゃないですか。

なので総当たり的にこのIDとPASSを試されて色んな所で乗っ取りが発生する可能性まであるので、万が一このような怪しいメッセージで開いた画面で入力してしまった人は、必ず即IDとPASSを変更してください。

件の乗っ取られた本人も、まだFacebookにログインは出来ていたので（乗っ取られてメッセージ発信してしまいました！投稿していた）乗っ取られて即本人がログインできなくなるわけでもないです。

犯行する側からすると、その誘導するメッセージさえ発信できれば目的は達成されているわけだし、そう言うのって数と速さが重要なのでいちいち手動でIDとパスワードの変更することは稀です。

というか変更しようとしたときに承認メッセージが紐づけられているメールアドレスに飛ぶとか言うシステムも多いのでそんな犯行側からするとリスクを冒すより、さくっと誘導メッセージ飛ばす方が重要なので何かおかしいと思ったらすぐにパスワードなど変更できる癖をつけてください、これが何よりです。

ひとつ、パスワード生成に便利な方法を伝授します。

皆さん自分のパスワードって覚えやすいフレーズで入力するじゃないですか。

こんにゃくが好きな人は konnyakusukosuko とか。

これに、ある規則（ルール）を用いてサイト毎にパスワードを設定すれば上の案件のようにIDとPASS抜かれても被害が抑えられます。

そのルールとは、例えばそのサイトの頭文字をパスワードの頭に付ける。

見てるサイトがAt NAGISAの公式サイトなら、attkonnyakusukosuko

ショールームなら、syokonnyakusukosuko

ミクチャなら、mikkonnyakusukosuko

この例の場合は「サイトの頭文字をローマ字打ちした場合の先頭三文字をパスワードの先頭に打ち込む」ルールですね

そうすると、自分のオリジナルパスワードかつ各サイト毎にパスワード生成できて尚且つ忘れない。

あとは英単語じゃなくて、すこすこみたいな日本語かつ俗語みたいなワードを盛り込むと総当たりでのパスワード解析で破られにくくなります。

こんな感じで自分ルールを考えると、パスワードも難しくなくなります。