Facebookアカウントは多くの個人ユーザーや企業によって利用されており、もはや生活に必要不可欠な存在となっていますが、それと同時にアカウントがハッキングされた際のダメージも大きくなっています。新たに、ハッカーにFacebookの2段階認証が破られたという事例を、独立系ゲーム開発者のトッド・ミッチェル氏が報告しました。

A Facebook hacker beat my 2FA, bricked my Oculus Quest, and hit the company credit card - CodeWritePlay

https://codewriteplay.com/2021/08/20/a-facebook-hacker-beat-my-2fa-bricked-my-oculus-quest-and-hit-the-company-credit-card/

ミッチェル氏のFacebookアカウントに異変が起きたのは、現地時間の2021年8月19日の深夜、3時30分頃のことでした。もちろんミッチェル氏は眠っていましたが、この時間にFacebookから「あなたのFacebookアカウントが無効になっています。これは、アカウントまたはそのアクティビティがコミュニティ標準に準拠していないためです」というメッセージが送られてきたとのこと。

最初にミッチェル氏のFacebookアカウントの異変に気付いたのは、本人ではなくミッチェル氏の妻でした。リモートで1晩働いていた妻は、ミッチェル氏がプロフィール写真を変更したことを知らせるFacebookの通知に気付き、テキストで「大丈夫?」とミッチェル氏の様子を尋ねたそうですが、眠っているミッチェル氏は起きるまでメッセージに気付きませんでした。

5時少し前に目覚めたミッチェル氏は、Facebookからの電子メールや妻からのテキストを見て困惑しましたが、それがどれほど重大な結果をもたらすかは理解していなかったとのこと。ミッチェル氏はFacebookの手順に従ってアカウントの無効化に異議を唱えることにして、政府発行のIDカードの写真をアップロードしました。この時、ミッチェル氏はすんなり異議が受け入れられると思っていたため、アカウントの保護などについて考えていたと述べています。

ところが、ミッチェル氏の異議申し立てからわずか18分後、Facebookから申し立てを拒否するメールが届きました。「アカウントが無効になっています。(中略)この決定はすでに確認済みであり、元に戻すことはできません。アカウントを無効にする理由の詳細については、コミュニティ標準をご覧ください」と、メールには記されていました。無効化されたアカウントは申し立てを行うヘルプリンク以外を使えないため、ミッチェル氏が取れる策は一瞬で尽きてしまいました。



Facebookに問い合わせ窓口が存在しないことは多くのユーザーを悩ませており、乗っ取り被害によるアカウントの無効化が大きな被害をもたらすことがあります。中にはFacebookアカウントを回復するため、「VRヘッドセットの『Oculus Quest 2』を299ドル(約3万3000円)で購入し、Oculusのカスタマーサポートを通じてFacebookアカウントを回復する」という裏技を使う人もいます。

問い合わせ窓口が存在しないFacebookで有人サポートを受ける裏技とは? - GIGAZINE



ミッチェル氏も2019年に購入した「Oculus Quest 1」を持っており、ゲーム開発者としてOculusに登録して短期間ながらUnityでパトロン向けのコンテンツを作成したこともありました。Facebookアカウントの乗っ取りによって、アカウントと紐付けられたOculusライブラリを失うのが嫌だったミッチェル氏はOculus Questを起動しましたが、恐れていた通りFacebookアカウントの問題でOculusにもログインできなくなってしまったとのこと。

Oculusからのメッセージは、「あなたのOculusデバイスにリンクされているFacebookアカウントは停止されました。これは、Facebookアカウントまたはそのアクティビティがコミュニティ標準に準拠していないためです」というもので、Facebookと同様のレビュープロセスを参照したものと推測されました。



ここまで確認したところでミッチェル氏の息子たちが起きだし、前から約束していた通り午前中は公園でディスクゴルフで遊ぶことにしたとのこと。ミッチェル氏はFacebookアカウントの問題で息子の1日を台無しにしたくなかったと述べています。

ミッチェル氏が公園で遊んでいた午前11時30分、妻が「あなた、Facebookで何か買ったの?」とメッセージを送ってきました。確かにミッチェル氏は、自身のFacebookアカウントで管理する「CodeWritePlay」というビジネス用のFacebookページを通じて、自分のウェブサイトやポッドキャストを宣伝する広告を出していました。しかし、Facebookが広告料金を請求するのは「未払いの広告料金が25ドル(約2750円)に達した時」であり、ここ数カ月で10ドル(約1100円)しか使っていないミッチェル氏の身に覚えはありませんでした。

ところが、実際に25ドルの請求が送られてきていたため、帰宅後にミッチェル氏はFacebookに抗議しようとしました。ところが、「CodeWritePlay」のFacebookページを管理していたミッチェル氏の個人アカウントは無効化されていたため、Facebookへの連絡手段がなかったとのこと。間違いの可能性もあるため一度は放置したミッチェル氏でしたが、数時間後に再び25ドルの広告料金が請求されたため、これは明らかにハッカーがクレジットカードを悪用していると判断。すぐに銀行へ電話をかけて請求に異議を申し立て、それ以上の請求が発生しないようにカードを完全にキャンセルしたそうです。



ミッチェル氏はFacebookアカウントで2段階認証を採用していたため、ハッカーは何らかの形で2段階認証を突破したことになります。ミッチェル氏は、まずはハッカーが自らを「CodeWritePlay」のFacebookページの管理者に追加し、それが完了した後でミッチェル氏個人のFacebookアカウントのプロフィール写真を変更したと推測しています。ミッチェル氏の妻が見た通知はこの時ハッカーが行った操作によるものであり、その結果ミッチェル氏個人のFacebookアカウントが無効化されてしまったとのこと。

一方、Facebook広告の支払い情報が含まれる「CodeWritePlay」のページは、管理者がハッカーだけとなった状態で残されます。そこでハッカーは、「CodeWritePlay」のページに自分が宣伝したい製品の広告をアップロードし、ミッチェル氏の支払い情報を利用して広告を展開したとみられています。なお、掲載された広告はカメラなどの製品を宣伝するものでしたが、リンク先が別の詐欺やマルウェアのインストールに利用される可能性があるとミッチェル氏は指摘しています。

Oculus Questの方に関しては、Oculusのサポートに従うことでデバイスとFacebookアカウントを分離することに成功し、Oculusライブラリに再度ログインできるようになったとのこと。しかし、Facebookアカウントについての対処方法はアドバイスが得られなかったそうです。

また、ミッチェル氏が一連の記事を投稿した後、8月20日の夜には支援してくれているユーザーの報告などによって、「CodeWritePlay」のページが削除されたとのこと。どうにかミッチェル氏のページがハッカーに利用される事態は防げましたが、Facebookは広告詐欺を阻止できる本物のユーザーをシャットアウトした一方、広告詐欺そのものはなかなか阻止しなかったとミッチェル氏は指摘。本当にFacebookがクレジットカードが利用される前にパターンを識別できないのかは疑問であり、一連の対応は自己満足的なものだと非難しました。

外部リンクGIGAZINE(ギガジン)