Facebookのアカウントに不正アクセスされました

何者かにパスワードを変更され、元のメールアドレスを削除され、復旧出来ない状態になりました。
そこから、アカウントを取り戻すまで１週間かかりました。
その経緯を忘れないうちに記録しておきます。

最初の気付き

ある土曜日のこと。
FaceBookのアプリをタップすると、ログアウト状態になっていた。
ああ、そう言えば今朝、iOSのアップデートをしたからかな？と思ってパスワードを入力したけど、エラーになった。
その時のエラーは「パスワードが違う」という明確なものでは無く、「問題が発生しました」というようなものだったと記憶している。
その為、FacebookのアプリがiOSのアップデートに対応してないのかな？とその時は深く考えず、一旦FaceBookの起動を諦めた。
つまり、この時は異変はあれども、アカウントハックに気付くことは出来なかったのである。

戦いが始まる

通常は毎日PCを起動してメールチェックなどをする自分だが、先日の土曜日は仕事の疲れもあり、仕事デトックスをしようとPCを起動しなかった。
こんな日は年に数日しか無い。
でも、事故とは複数の偶然が重なった時に発生するものなのだ。

次の日の日曜日、PCを起動してメールをチェックしてビビる。
このタイトルを見た瞬間、FaceBookにログイン出来なかったこととすぐにリンクしたからだ。

メールを開くとこんな感じ。

時間は多分正しいけど、ロケーションはフェイクっぽい。
「私は変更していません」をクリックすると、アカウント不正利用のヘルプセンター（https://www.facebook.com/hacked/）に進むのですが、結論から言うとここではもう止められなかった。
ちなみに追加された攻撃者のメアドはこちら。
ucwultqak@outlook.com
捨てアドだろうけど、一応晒しておく。

この段階でもうアカウントハックされたのは確定的。
考えられる被害は・・・

1. 私の非公開登録情報の閲覧・漏洩

2. 投稿やフレンドリストの削除、追加

3. 自分になりすまして詐欺やフィッシングのメッセージをフレンドに送る

4. 鍵垢のフレンドの投稿やプロフィールの閲覧

１は大した情報では無いし、２は少し残念だけど投稿は諦め、フレンドリストは再度申請すれば良い。
４は申し訳ないが金銭的な被害には繋がりにくい。
３が一番ヤバいと思い、なんとかせねばと焦る。

試しにPC（Chrome）からFaceBookを開いてみるとアカウントがロックされており、「ハッキングされましたか？」みたいなメニューの後に、最近の投稿などの変更の一覧が表示された後、普通に開けてしまった。
パスワードが変更されているのでメアドの再登録は出来ないが、投稿も普通に出来る。
これはブラウザとFaceBookサーバ側に資格情報が残っている為と思われる。
この状況を利用して、フレンドには「アカウントハックされたので、私からのメッセージには反応しないように」と呼びかけた。

対処を始める

それぞれFaceBookが用意しているリカバリーページ。
しかしながら

・パスワードは変更されてわからない
・登録アドレスは不正アクセスの奴が登録したやつになってて、元のアドレスは消されてる
・元のアドレスを登録しようとしても、認証コードを入れた後に登録されてる不正アドレスの方に確認リンクが行ってるから、一生認証されない

という状況なので、問い合わせフォーム的なものを探す。
これらのページのどこかから、個人情報を送ると復帰できるらしいことを、フレンドから教えてもらったので試しまくる・・・がまったく見つからない。
昔のコマンド入力式アドベンチャーゲームの如く、対話型の解決フォームの全パターンを試すが、そのようなフォームにたどり着けない。

最初の対処

フレンド（台湾の方）から教えてもらったページ①（中国語のページが開きます）

別のフレンドから教えてもらったページ②

ページ①はのっとられたアカウントを指定して、個人情報を送り直して登録情報（メールアドレス）を復帰し、パスワードを再設定する方法。
ページ②は「FaceBookアカウントを持っていないが成りすましページを作られた」場合の対処方法を使って、アカウントを復旧する方法だ。

まずは②の方法を試した。
経緯を詳細に書き、マイナカードの写真を個人情報として送った。
すると半日ほどして、アカウントが再びロックされた。
運営側でなにかやってくれているらしい、期待が膨らむ。
しかしながら数日立っても状況は改善せず、いつ実害が始まるかと気が気では無かった。

次の対処

最初の対処のプロセスが進んでいるかどうかがわからないので、次の対処、台湾の友人から送ってもらった方法を試す。
翻訳サイトで中国語を翻訳しながら手順を確認して実行するが、手順通りにやっても問い合わせフォームにたどり着けない。
ITエンジニアにあるまじき行為だが、５～６回はリトライしたと思う。
ダメなものは同じこと何回やってもダメなんだけど、何か手順違いがあるのではと思ってしまったのだ。

これもダメかなあと思ったのだが、一つ思いついたことがあった。
PCのブラウザにログイン情報が残っているのが問題なのでは？
そう思い、二度とログイン出来なくなる恐怖と戦いながらログアウトしてみた。
もちろん、パスワードとメアドが変更されているので、もうログイン出来ない。
しかしその状態からヘルプフォームから対処を進めると、手順通りに問い合わせフォームが出た！
どうやらChrome（かサーバー）に資格情報が残っていると、途中で「いやお前、ログインできとるやんけ」と違うスキームに流されるらしい。
問い合わせフォームから、マイナカードの写真を送り、状況を書いてサブミットした。

数日後、私のメールアドレスがアカウントに再登録された旨の連絡が着た！
次は速攻で「パスワードを忘れた時」のスキームから、新しいパスワードを作ってログインする。
ここからスピード勝負である。
なにしろ、攻撃者のメアドにも同じパスキーが送られてしまっているのだ。
先にログインし、パスワードを再設定し、攻撃者のメアドを削除せねばならない。
焦りながらも何とかPCの操作を続け、無事にアカウントを取り戻すことができた！

後日談

その後、速攻で2要素認証を設定、他のSNSやショッピングサイトなどを調べたところ、全て2要素認証は設定済みで一安心。
SMS認証だったものは、より利便性が高いMS-Auth認証に切り替えた。

今回とても大きな学びがあった。
それはアカウントハックされた被害者の気持ちが良くわかったこと。
何をしていても落ち着かない。夢にみる。
ベッドで寝付けずにいて、「あ、あの方法はどうだろうか」と思いつくと起き出してPCを立ち上げ、試してしまう。
アカウントハックしてから復旧するまでに一週間程度を要したが、その間は本当に不安な日々を過ごした。
自分がセキュリティエンジニアなのに、「誰か助けてくれ！」と思っていた。
今後、アカウントハックされた人にはことさらに優しくし、可能な限りお助けしようと誓った出来事だった。