facebookスパムメッセージが流行ってますが



ここ最近になって急に流行ってますね。今までのやつはサングラスのレイバンのイベントに招待されたり怪しい女の子からの友達申請くらいでしたが、最近はフィッシングサイトに行ったりとかなり悪質になってます。しかもログインを全然しなくなってるユーザが多かったのが今もちゃんとログインしていてパスワードも変更されてるのに引き続きメッセージ送られたりなんかもあって一回こうなったら大変そうです。

ここまで調べたところ原因はそれぞれのようで、ある人はchrome拡張によるものだったりある人はfacebookアプリの権限許可だったりのようでなかなか大変そうです。僕もひとまずfacebookのセキュリティの確認をしました。
やったこと。
・二段階認証をオン
・パスワードを変更&すべてのセッションからログアウトする
です。ログインパスワードが分からなくなった時が少し面倒ですが、セキュリティを強化するためなら仕方ないかなと。

最近セキュリティ関係も一層勉強しておりますが、正直なところ全てをガードすることは出来ないと思います。常日頃からガードを崩そうと考えて行動している人がいる以上、いつかは抜かれてしまうと思って、むしろ事後対策がスムーズにできるようにすべきではないかと思います。

それでも出来るだけ被害にあわないようにするための心構えとしては
1.必要な情報だけを渡す
2.どういう状況になっているか定期的に確認する
です。

1.必要な情報だけを渡す
 利便性を図るために何でもSNSログインを許可してしまう人がいますが、そのサービスを定期的に使うとか安心できる相手であるとかではない限り、出来る限り渡す情報は少なくしたほうが良いです。僕自身、アプリやサービスを作るときは「ユーザの住所や電話番号は本当に欲しいのか」とか一つ一つ考えます。クライアントが欲しいと言えば実装するのですが。。。ユーザ側も住所に送ってもらう必要があるとかでない限りは不要な情報を渡さないほうが良いと思います。流行ってるらしいからとかでChrome拡張もどんどん入れる人がいますが、これも同様です。僕なんかモバイルシミュレータで確認する時だけしか有効にしてないです。必要な時に必要な分だけ。身を守るためには重要です。

2.どういう状況になっているか定期的に確認する
 実は僕も徹底できていなかったのですが、例えばfacebookアプリで権限を許可するとアカウントのアプリのところに一覧が出ます。でも、そのサービスが終了したり他社に譲渡されても通知されないので「そういえばこのサービス登録してたな」なんてのがあり、よく見たら「こんなサービス登録してないぞ」というものがありました。某社のアプリでしたが今は違う方が管理されていたようでした(開発アプリIDはそのまま)。これって結構怖いですよね。ましてやそのサービスに投稿の許可までしてたりしたら。なので何かのタイミングで確認することは必要だと思います。

スパムのメッセージも
Kentarou Video 😑
http://bit.ly/xxxxxxxxxx
だけでしたが、これが例えば
市川さん、お疲れ様です。
仕事で相談したいことがありまして、動画関係のサービスの開発をお願いしたいです。
こちらのようなイメージです。
http://bit.ly/xxxxxxxxxx
可能そうであれば返信ください。よろしくお願いいたします。
みたいな感じで来たら開けちゃうかもしれないですね。怖いなぁ。
相手によっては「このURLって何ですか?」みたいなこと聞きづらいし。。。短縮URLだったら「短縮URLはセキュリティソフトが弾くので」とか適当なこと言って誤魔化すか。