【Facebook】乗っ取り犯との「いたちごっこ」を終わらせる!デバイスレベルでの徹底的な除染作業

Facebookアカウントを奪還し、パスワードを最強のものに変え、二段階認証も設定した。それなのに数日後、再び見覚えのない投稿がされたり、パスワードが書き換えられたりする。この絶望的な「いたちごっこ(Cat-and-Mouse Game)」が続く場合、問題はFacebookのサーバー上ではなく、あなたが今操作している「デバイス」そのものの汚染にあります。
2026年現在、攻撃者はパスワードを盗むことよりも、ブラウザの『セッション(Cookie)』をリアルタイムで盗み出し続ける『インフォスティーラー(InfoStealer)』や、バックグラウンドで動作する悪質なブラウザ拡張機能を好んで使用します。デバイス側が除染されていない状態では、どれほどパスワードを強化しても、入力した瞬間にその情報は攻撃者の手元へ流れてしまいます。本記事では、アカウントの完全な安全を取り戻すために不可欠な、デバイスレベルでの徹底的なクリーンアップ・プロトコルを詳説します。

1. 技術仕様:なぜ「パスワード変更」だけでは防げないのか

攻撃者が執拗に再侵入を繰り返す背景には、現代のウェブ認証システムが抱える「セッション維持」の仕組みが悪用されている実態があります。

セッション・ハイジャックとCookie窃取の論理

・Cookie(クッキー)の永続性:一度ログインに成功すると、ブラウザには「セッションCookie」が保存されます。攻撃者がマルウェア(インフォスティーラー)を用いてこのCookieをファイルごと盗み出した場合、攻撃者はあなたのパスワードを知らなくても、自分のブラウザにそのCookieをインポートするだけで、あなたのログイン状態を完全に再現( Session Replay Attack )できます。
・トークンの自動更新:多くのサービスでは利便性のために、セッションが切れる前に自動で新しいトークンを発行します。攻撃者が一度セッションを掌握すると、この自動更新サイクルに入り込み、あなたがパスワードを変えても「既にログイン済みのセッション」として活動を継続することが可能になります。
・MFAのバイパス:セッションCookieを盗む攻撃( Pass-the-Cookie )の前では、ログイン時にのみ要求される二段階認証(2FA)は無力です。なぜなら、認証は「既に完了した」とみなされているからです。

2. 実践:ブラウザの深層に潜む「バックドア」の排除手順

ブラウザは単なる閲覧ソフトではなく、プログラムが動作するプラットフォームです。ここを徹底的に清掃します。

手順①:悪質な拡張機能(Extensions)の全数点検

1. ブラウザの拡張機能管理画面( chrome://extensions/ 等)を開きます。
2. 「デベロッパーモード」をオンにし、各拡張機能の「ID」と「権限」を確認します。
3. 特に「すべてのウェブサイト上のデータの読み取りと変更」という権限を持つ、身に覚えのない、あるいは信頼性の低い開発元の拡張機能は即座に削除してください。これらは、Facebookのページ上に不正なJavaScriptを注入( JS Injection )し、ログイン情報をリアルタイムで送信する機能を備えていることがあります。

手順②:Service Workers の登録解除

Service Workers( $S_{worker}$ )は、ブラウザを閉じていてもバックグラウンドで動作し続けるスクリプトです。高度な攻撃者はこれを利用してセッションを維持します。
・削除フロー:デベロッパーツール(F12)の [Application] タブ > [Service Workers] から、現在登録されているワーカーを確認し、 [Unregister] をクリックしてすべて解除します。

3. 応用:OSレベルでの侵害調査と『Hostsファイル』の点検

ブラウザの外、すなわちオペレーティングシステム(OS)側に攻撃の拠点が作られていないかを検証します。

不審なネットワーク通信の特定

・DNSハイジャックの確認:攻撃者がOSの hosts ファイルを書き換えている場合、あなたが www.facebook.com と入力しても、実は攻撃者が用意した偽のプロキシサーバーへ誘導されている可能性があります。
・点検箇所: C:\Windows\System32\drivers\etc\hosts (Windows)または /etc/hosts (Mac)を開き、Facebookに関連する身に覚えのないIPアドレス指定がないか確認してください。
・タスクマネージャーの精査:CPUやネットワークを異常に消費している、発行元が不明なプロセス(例: sysupdate.exe 等の紛らわしい名称)がないか確認し、怪しい場合は実行ファイルをウイルススキャンにかけます。2026年時点では、ファイルレスマルウェアのようにメモリ上でのみ動作する脅威も存在するため、信頼できるウイルス対策ソフトによるフルスキャンは必須です。

4. 深掘り:API認可と『信頼済みデバイス』の完全パージ

デバイス側の掃除が終わったら、Facebookのサーバー側に残っている「攻撃者のデバイスへの信頼」を物理的に断ち切ります。

・二段階認証の『シークレットキー』の無効化:認証アプリを使用している場合、攻撃者がQRコードのバックアップ(シークレットキー)を既に持っている可能性があります。設定を一度 [オフ] にし、新しいキーで [再設定] してください。これにより、攻撃者の持つ古いOTP生成ロジックは無効( $OTP_{old} \neq OTP_{new}$ )になります。
・信頼済みデバイスの全削除:[パスワードとセキュリティ] > [ログインの場所] および [信頼済みのログイン] から、今手に持っているこの一台以外のすべてのデバイスを削除してください。「いたちごっこ」の原因の多くは、このリストに残された攻撃者のブラウザが「通知なしでログインできる特権」を維持していることにあります。

5. エンジニアの知恵:『クリーンな踏み台』を用いた最終復旧

ITエンジニアが、深刻な侵害を受けたシステムの復旧時に行う「汚染環境の完全隔離」の考え方です。

・デバイスの完全初期化(Factory Reset):もし、OSレベルでの汚染が疑われ、特定が困難な場合は、データのバックアップを取った上でデバイスを工場出荷状態にリセットするのが最も確実です。
・復旧操作は「別のクリーンなデバイス」で行う:パスワード変更やセキュリティ設定の最終的な仕上げは、現在使用している汚染の疑いがあるPCではなく、最新のOSにアップデートされた家族のPCや、完全に初期化されたスマホから行うようにします。これにより、除染作業中に再び情報を盗まれる( Interception during cleanup )リスクを物理的に回避できます。

まとめ:いたちごっこ終結・徹底除染チェックリスト

乗っ取り犯とのいたちごっこが終わらないのは、攻撃者があなたの家の「玄関の鍵(パスワード)」だけでなく、家の中に「隠しカメラ(マルウェア)」や「合鍵のコピー(Cookie)」を置いたままにしているからです。Facebook上の設定を変えるだけでは、カメラに映る新しい鍵を見られているのと変わりません。ブラウザの深層からOSのプロセスに至るまで、デバイスという物理的な基盤を徹底的に除染すること。そして、信頼をゼロから再構築( Zero Trust Reconstruction )すること。このエンジニアリング的なアプローチこそが、しつこい攻撃者の息の根を止め、あなたのアカウントに真の平穏を取り戻す唯一の解決策です。