【Facebook】ログイン履歴の「OS不明」とは?コマンドラインやスクリプトによる攻撃の痕跡

Facebookのセーフティ機能である「ログインの場所」を確認した際、使用しているデバイスのOSが「Windows」や「iOS」ではなく、『OS不明』あるいは『不明なデバイス』と表示されていることがあります。あなたが古いブラウザや特殊なカスタムOSを使用していない限り、この表示は非常に高い確率で、人間による通常のブラウザ操作ではなく、プログラム(スクリプト)による自動化されたアクセスが試みられたことを示しています。
2026年現在、攻撃者は通常のブラウザを介さず、コマンドラインツールや『ヘッドレスブラウザ』を用いて、セキュリティの網の目を潜り抜ける「非標準的」なログインを試行します。本記事では、なぜMetaのシステムがOSを特定できないのか、その背後にある技術的な仕組みと、スクリプトベースの侵入を確実に遮断するためのプロトコルを詳説します。

1. 技術仕様:OS判定の根拠となる『User-Agent』の論理構造

FacebookがログインデバイスのOSを特定できるのは、ブラウザがサーバーへ送信するHTTPリクエストヘッダーに含まれる「User-Agent(UA)」という文字列を解析しているからです。

User-Agentによる属性識別の仕組み

・標準的なブラウザの挙動:例えば、最新のChromeを搭載したWindows PCからアクセスすると、ブラウザは Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36... という詳細な識別子を送信します。Metaのシステムはこの文字列から「OS = Windows 10」「Browser = Chrome」と判定します。
・「OS不明」が発生する論理的要因:攻撃者が cURL や Python (Requests) などのライブラリを使い、User-Agentを空( $UA = \emptyset $ )にするか、あるいはシステムが認識できないカスタム文字列を設定して直接HTTPリクエストを送信した場合、Metaの判定エンジンはOSを特定できず、「不明」として記録します。
・パターンスコアの欠如:2026年時点のMetaのAIは、UA文字列だけでなく、画面解像度やサポートされているフォント( Canvas Fingerprinting )を組み合わせてOSを推測しますが、自動化ツールはこれらの「ブラウザとしての実体」を持たないため、判定スコアが閾値を下回り「不明」となります。

2. 実践:スクリプト攻撃(CLI/Bot)の痕跡を特定する手順

「OS不明」がどのような攻撃経路を示唆しているのか、技術的な切り分けを行う手順です。

手順①:ログイン場所とプロバイダ(ISP)のクロスチェック

1. [アカウントセンター] > [パスワードとセキュリティ] > [ログインの場所] を開きます。
2. 「OS不明」の項目をタップし、詳細情報を展開します。
3. 判定のロジック:場所が自分の居住地と近くても、ISPが「Amazon Data Services」や「Google Cloud」などのクラウド業者であれば、それはあなたのPCではなく、攻撃者がクラウド上の コマンドラインインターフェース(CLI) からスクリプトを走らせた決定的証拠です。

手順②:ヘッドレスブラウザ(Headless Browser)の可能性の点検

攻撃者は Puppeteer や Playwright といったツールを使い、画面を表示させずにプログラムからブラウザを制御します。
・これらは「Chrome」として認識されることもありますが、ブラウザ固有の機能(WebRTCの挙動等)が制限されているため、Metaの高度なセキュリティ監査ログでは「不明な種類のデバイス」としてフラグが立てられます。自分自身で自動化ツールを開発・運用していない限り、これらはすべて不正アクセスの試行とみなすべきです。

3. 応用:アクセストークン窃取(Token Hijacking)の検知と遮断

「OS不明」のアクセスは、多くの場合、パスワードを知らなくてもログインできる『アクセストークン』の悪用を狙っています。

トークンベースの攻撃への対抗技術

・API経由の不正操作:攻撃者は、あなたが過去に連携したサードパーティアプリの脆弱性を突き、そこから発行された Access Token を奪取します。このトークンを使って直接APIを叩く際、UAが設定されていないと「OS不明」として記録されます。
・セッションの強制パージ:「OS不明」の履歴を削除(ログアウト)する操作は、単に画面から消すだけでなく、Metaのサーバー側で保持されている 該当トークンの有効性を物理的に破棄 する処理を意味します。これにより、攻撃者のスクリプトは次回のAPIリクエストで 401 Unauthorized エラーを返され、侵入状態が解消されます。

4. 深掘り:ブラウザ拡張機能に潜む「スクリプト注入」の罠

場所が「自分の家」で「OS不明」が出る場合、デバイスそのものが侵害されている可能性があります。

・拡張機能によるバックグラウンド操作:ブラウザにインストールした悪質な拡張機能( Malicious Extension )が、あなたのログインセッションを利用して、裏でこっそりFacebookのAPIにリクエストを送ることがあります。
・技術的な特徴:拡張機能からのリクエストは、通常のブラウザ通信に紛れ込ませる( Side-channel injection )ことが可能ですが、不適切な実装がなされたスクリプトは、Metaのサーバーに対して正規のOS情報を受け渡せないことがあり、結果として「不明」な足跡を残します。心当たりのない「不明」が続く場合は、ブラウザのアドオンをすべて無効化し、クリーンな状態で再テストを行う必要があります。

5. エンジニアの知恵:『フィンガープリント』の整合性を意識する

ITエンジニアが不審なログインを分析する際、OSの種類以上に重視している「情報の不整合」についてです。

・不一致(Mismatch)の検出:例えば、ログイン履歴には「OS不明」とあるのに、そのセッションで行われた操作が「モバイルアプリ専用の機能」である場合、これは APIを直接叩いてアプリの挙動を模倣している という技術的矛盾を示します。
・環境の固定化(Stationary Environment):不審な「不明」ログインを防ぐには、二段階認証に 物理セキュリティキー(FIDO2) を導入するのが最強の手段です。スクリプトやCLIツールは、物理的なデバイス(指紋やハードウェアキー)のタッチをエミュレートすることが極めて困難であるため、この一段階を追加するだけで、「OS不明」の攻撃者たちはログインの門前で完全にシャットアウトされます。

まとめ:OS種別ごとの信頼性とリスク判断マトリクス

「OS不明」という表示は、攻撃者が残した数少ない『不自然な痕跡』です。通常のユーザーであれば意識することのない User-Agent や APIリクエストの整合性が崩れていることを、MetaのセキュリティAIがあなたに知らせています。この「不明」という言葉を「よくあるバグ」として見過ごさず、プログラムによる非人間的なアクセスの予兆として捉え、即座にセッションの破棄と認証情報の刷新を行うこと。この迅速な技術的判断が、自動化された高度な乗っ取り攻撃からあなたのアカウントを死守する決定打となります。