当サイトは、Amazon.co.jp の商品を宣伝することにより、紹介料を獲得できる Amazon アソシエイト・プログラムの参加者です。
当記事に Amazon へのリンクが含まれている場合、それをクリックし買い物をすると、当サイト(および当サイト管理人)に対して一定の収益が発生します。
発生した収益の一部は、持続的なサイト維持のために使用されます。
ちなみに下記リンクをクリックし Amazon内で何かしら買い物をしていただくと、当サイト内で紹介した商品以外の購入でも収益は発生します。
もし「ブログの内容が役になった」「記事のおかげで助かった!」といった方は上記リンクをクリック頂き、Amazon内で買い物をしていただければ幸いです。
悩ましいのは、協力頂いた皆さんには持続的なサイト維持以外何の見返りもないということです。せめて皆さんから頂いた額を見て、ブログ読者の方への感謝の気持ちを忘れぬよう日々努めます。
現在Facebookアカウントの乗っ取りや、乗っ取られたFacebookアカウントに紐づいたビジネスマネージャへの不正アクセス、不正アクセス後の不正な広告キャンペーンの作成、それによって1日に数十万円、数百万円という予算が悪意をもって意図をもって投下されるという事件が、Xを見ている限りでも多発していますように感じています。
「自分もクライアントも、二段認証を設定しているから大丈夫」
中にはそのように考え、注意しない人も多いでしょう。
しかし実際被害を受けた方の中には二段階認証していたにも関わらず被害にあった方も存在しており、「二段階認証を設定しているから大丈夫」という認識のままいては少し危険です。
例えば、先日クライアントさんがアカウントを乗っ取られ、その後対応に当たられた佐藤さん@Ysato_su04 も「二段階認証を設定していたにもかかわらず乗っ取り被害にあった」旨をXでポストされていました。
実際、電話番号による二段階認証(SMS)はフィッシングによって電話番号を抜くことができるため、可能な限り認証アプリを用いた二段階認証を設定すべきだと自分は考えています。
本日はより安全性の高い、認証アプリを用いた二段階認証の設定方法について解説していきます。
特に先日もご紹介した通り、最近は巧妙な手段での乗っ取りも増えているため、これを機に見直しを早期に進めていくことをお勧めします。
参照:Facebookページの誤BANを用いた巧妙なスパムメールやメッセージにご注意ください
二段階認証における「SMS認証」に関して、Metaは公式に脆弱性を認定していません。ただし、こちらの記事を公開後XのDMやメッセンジャー経由で「弊社ではSMS認証は禁止してます」「SMS認証で突破されて1日で数千万円使い込まれて大問題になりました」といった情報が複数寄せられているほか、他複数のメディアでSMS認証の危険性については言及がなされています。SMS(電話番号認証)認証は大変危険です。今すぐアプリ認証への一本化をご検討ください。
参照:SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
主に行うべきことは、下記5つです。
- 二段階認証設定の確認(現在何が設定されているか)
- 不審な認証アプリの設定がある場合は削除
- アプリ認証を設定(事前にMicrosoft or Google認証アプリで設定、本記事では Google 推奨)
- SMS認証を解除
- Instagramも同様の設定が必要(1.-4.)
- 認証アプリログイン時のMicrosoft or Googleアカウント自体にも段階認証設定(本記事では Google 推奨)
目次
アプリを用いた二段階認証の、PCからの設定方法ですが下記の通りです。
まずはFacebookにログインし、右上のプロフィールアイコンをクリックします。
「設定とプライバシー」をクリックします。
「設定」をクリックします。
「設定」内に遷移します。初回は次のような画面が表示されるはずです。「OK」をクリックします。
アカウントセンター内の「パスワードとセキュリティ」をクリックします。
「二段階認証」をクリックします。
二段階認証を設定するアカウントをクリックします。
既に何かしらの二段階認証を設定している場合、ここで二段階認証を求められます。アプリ認証を求められる場合は「Another way」を選択し、SMS認証などでログインしてください。またもしアカウント設定初期に忘れているものの、自分自身でFacebook-appなどで設定している可能性があります。それらの設定は一度削除してください。また1度乗っ取られている場合、乗っ取りを行った人物のデバイスが既にアプリ認証に追加されている場合があります。その場合、その二段階認証設定を解除してください。
またこの時点で、二段階認証においてSMSもアプリ認証も両方乗っ取られている場合、アカウントの復活、およびビジネスマネージャの紐付けは諦めてください。再度乗っ取られる危険性があり、ビジネスマネージャに危険が及びます。また勝手に広告配信をされることにより、ピクセル汚染などが起こり再起不能となります。
セキュリティ強化方法の中から「認証アプリ」をクリックします。
ここで下記画面が表示されない場合、本人確認が実施されていない可能性が考えられます。本人確認と二段階認証は全くの別物になります。本人確認が実施されていない場合、まずはセキュリティコードやバックアップコードを用いて本人確認を行いましょう。
選択後、「次へ」をクリックします。
QRコードが表示されます。PCの画面はこのままにしておきます。
認証用のアプリをスマホへダウンロードします。
ここではMetaも推奨する Google Authenticator を使用します。
Google Authenticator のダウンロードリンクは下記の通りです(類似アプリも多いので注意しましょう)
参照:「Google Authenticator」をApp Storeで
参照:Google Authenticator – Google Play のアプリ
ちなみにすでにダウンロードしている場合、下記キャプチャ内のように「開く」と表示され、未ダウンロードの場合は「入手」と表示されます(AppStoreの場合)
アプリを立ち上げ、Google アカウントでログインします。
その後「QRコードをスキャン」をタップし、先ほどの「(9)設定画面に遷移」で表示されたQRコードの読み込みを行います。
そうするとコードが表示されるようになります。
こちらを今後、二段階認証を求められた際には常に使用していきます。
アプリ上に表示されたコードを入力します。
「次へ」をクリックします。
「完了」をクリックします。
ログインを試みてみて、2段階認証がオンになっているかどうか、認証アプリからのログインコードを求められるかどうかを確認します。
二段階認証設定に関連して、9つ注意すべき点があります。そちらについても順に解説していきます。
電話番号による認証には前述した通り脆弱な点があります。そのため電話番号による二段階認証設定をすでに行なっている場合、認証アプリによる二段階認証設定を終えたら SMS による二段階認証設定はオフにしましょう。
Facebook Protectを有効していない場合、オンにしましょう。下記キャプチャ内にある通り、アカウントセンターからオンにできます。
ただし Facebook Protectを有効にすると、以下2つのことができなくなります。ご注意ください。
- 二段階認証設定の高頻度での変更
- 二段階認証設定の完全無効化(どれか1つは設定しないとダメ)
「社外の人間にビジネスマネージャの権限は付与しているものの、権限レベルは低いから大丈夫だろう」と思っていても、実はキャンペーンの編集、メンバーの追加および権限変更権限を付与しているケースがあります。
例えば、Meta広告で収集したリードを自動的にMAツールに連携するフローを構築している場合、編集以上の権限が割り当てられている可能性があるため、乗っ取られた際は不正にキャンペーンを作成されるリスクがあり、注意が必要です。
今回は個人アカウントの二段階認証設定方法について解説しましたが、ビジネスマネージャに関しても二段階認証設定をすべきです。
設定方法については下記公式リンクからご参照ください。
参照:ビジネスマネージャの二段階認証について | Metaビジネスヘルプセンター
参照:ビジネスマネージャの利用者の二段階認証を必須にする方法 | Metaビジネスヘルプセンター
これは電話番号(SMS)による二段階認証設定時も同様ですが、スマホの盗難や外出時にスマホを自宅に忘れてしまった場合、アクセスができなくなるため注意が必要です。
またスマホに関しては水没や不意の故障、紛失や盗難時も同様にリスクがあるため、定期的にバックアップを取る、もしくは遠隔でロックをかけられるように事前に設定しておきましょう。
今回認証アプリとして「Google Authenticator」を使用しましたが、Google Authenticator にログインする際に使用したGoogle アカウントも二段階認証設定を必ずしましょう。
また二段階認証設定をすることで、上記「(5) スマホの盗難や忘れ物に気をつける」に明記したようなリスクやデメリットが、Google アカウントに対しても生じることも念頭に置いておきましょう。
携帯電話の解約、故障による機種変更などの場合、事前に設定しておかないとMetaに連絡を取り手続きを踏まないとログインできなくなります。
二段階認証を設定しようとしても、認証アプリが選択肢にない選択肢を複数提示されるケースなど、設定できない場合があります。
多くの場合、本人確認を終わらせていないことが原因なので、まずは本人確認を行い、その上で二段階認証を設定を実施してください。
セキュリティに関して万全ということはなく、どれだけ強固なセキュリティを用意したとしても回避され不正アクセスされるリスクはあります。
そういった有事の際にも冷静に対処できるように、事前に下記のような取り組みを関係者間で行なっておけるとより理想的です。
- 理想的な二段階認証設定方法の共有
- 不正アクセスが発生した際の対処フローの明確化と関係者間での共有
- (不測の事態が発生した際も)媒体からのメールは無闇に開いたりリンクをクリックしない
- 基本的に徹底したセキュリティ設定をしている場合は返金してもらえる可能性が高いので焦らない
- 不測の際には二次被害が出ることもあるので1人で判断しない
- 定期的にビジネスマネージャに紐づいているアカウントとそれぞれの権限レベルを確認しておく
「すでに二段階認証設定をしている」という方は多いと思いますが、前述した通り電話番号(SMS)による二段階認証設定は回避されるリスクがあるため、なるべく認証アプリによる二段階認証設定に切り替えるべきです。
また電話番号(SMS)による二段階認証設定の場合、たまにコードが届かないことなどもあります。
自分も電話番号(SMS)を使って二段階認証を設定していた当時、肝心な時にログインできず困らされていました。
認証アプリを使用するとそのようなこともなくなるため、セキュリティ強化という側面もある一方、認証アプリを使用した二段階認証に切り替えることで、Facebook 広告(Meta 広告)運用における無駄やタイムロスを減らすことにも一定の効果を発揮します。
これらの理由から、すでに二段階認証を設定している方もこれを機に認証アプリによる二段階認証へと切り替えることをお勧めします。
文責:川手遼一
