Sep 1, 2012

facebookの「メッセージ」に、なりすましの危うさ

1.概要
標記の件、検証した。
「(facebookログイン用のメールアドレスを他者が知っている場合に)facebookの「メッセージ」でなりすましが可能」と分かった。
2.結論・対策
2-1.facebookでログインに使うメールアドレスは公開しない。
2-2.facebookでは、その他の通知用メールアドレスを設定しない?(未検証)
2-3.多様なコミュニケーション手段を使う。
 facebookを信用し過ぎない。
 「あの人が、こんなことを言ってくるなんて」という場合は、
 電話等で真偽・真意を確認すると良い。
※ 本質的な解決は、facebookが
  『メールでの「メッセージ」の投稿・受信機能を停止すること』
  、、、しばらくは期待しにくいように思われる。

3.詳細
facebookの「メッセージ」は、特定の友達にメール代わりに使える(皆が見れる「タイムライン」には表示されず、当事者のみがコミュニケーションできる)機能。

この「メッセージ」は、ブラウザが使えない状況でも、メールで友達へ「メッセージ」を送れる便利さがある。
一方、facebookのアクセス用のメールアドレスを世間に公開していると、なりすましの危うさがありそうだ。以下、シナリオを説明します。

1) Aさん
1-1) プロフィール: https://www.facebook.com/#!/mr.a
1-2) facebookが「メッセージ」を受けつけるメールアドレス: mr.a@facebook.com (第三者が容易く知ることが出来る)
1-3) facebookに登録しているメールアドレス: mr.a@gmail.jp

2) Bさん
2-1) プロフィール https://www.facebook.com/#!/mr.b
2-2) facebookが「メッセージ」を受けつけるメールアドレス: mr.b@facebook.com (第三者が容易く知ることが出来る)
2-3) facebookに登録しているメールアドレス mr.b@gmail.jp

3) BさんがAさんに 次のメール送信すると、、、
3-1) Bさんが、Outlook(アドレスは「2-3.mr.b@gmail.jp」)から「1-2.mr.a@facebook.com」宛てにメール送信。
3-2) Aさんは、facebookで Bさんから「メッセージ」を受け取る。
3-3) 元はBさんからのメールだが、Aさんは、facebookで プロフィールの写真付きで「メッセージ」を受け取れる。AさんはBさんを、より身近に感じられる。

4) Xさんが次の間違いを犯した場合
4-1) XさんがOutlookの設定を誤って Bさんのアドレス(2-3) mr.b@gmail.jp)に設定。
4-2) Xさんが、Aさんのfacebookアドレス(1-2. mr.a@facebook.com)にメール送信。
4-3) Aさんは、「メッセージ」を受信。この時の「メッセージ」は、BさんからのものとしてBさんのプロフィール画像と共に表示される。
(ここでfacebookの事は忘れて)普段のOutlookでのメール交換なら、Aさんは「本当にBさんのメールか?」をSMTPヘッダ(メールサーバ、送信日時などが分かる)から追跡可能。
ところが、facebookの「メッセージ」には そのような機能が無い。そのため、本人かどうかfacebookだけでは確認できない。
4.あとがき
日本の多くのプロバイダは、4-1), 4-2)の間違いが起こりにくいように対策しているようではあります。ただ、、、以下省略。 
また、4-1)でBさんのアドレス「2-3) mr.b@gmail.jp」の代わりに 「2-2) mr.b@facebook.com (第三者が容易く知ることが出来る)」が可能だとしたら(真偽確認できていません)facebookの「メッセージ」機能は致命的な脆弱性がある、と言わざるを得ない。
facebookは今やリアル友達の範囲に留まらない、広範な交流のプラットフォームになった。
そこで、facebookがこのようなセキュリティ問題を放置しているのは、極めて深刻だと思う。
「友達」の多い(メールアドレスも公開している)有名人とか、家族でfacebookを活用している場合は、特に用心が必要と言えそうだ。
5.参考
http://www.ideaxidea.com/archives/2012/08/facebook_flaw.html
友達じゃなくてもメールアドレスからFacebookのプロフィールが特定できてしまう件 (IDEA*IDEA 2012/08/20)
http://www.msng.info/archives/2012/08/fake-facebook-massage-sender.php
Facebookのメッセージは送信者を自由に偽装して送れることが判明 (頭ん中 2012/08/20)
//
投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)