Facebookの「セキュリティのための質問」を再設定する方法

前回の記事に書いたように、Facebookではパスワードをリセットするための一つの方法として「セキュリティのための質問」を利用することができる。ただし問題がひとつある。Facebookでは一度設定した「セキュリティのための質問」をあとから変更することができない。他人が容易に推測できるような回答をうっかり設定しまう場合を考えると、これは非常に危険である。3人の架空のアカウントで友達になって…などとわざわざ面倒な方法を使わなくても、簡単にアカウントが乗っ取れてしまう。

そこでどうしても過去に設定した「セキュリティのための質問」を変更したい人のために、ややトリッキーではあるが変更することが可能な方法を紹介する。(ただし正規の手順というわけではないので、実行する場合は自己責任で*1。)

なお現在は「セキュリティのための質問」に代わる機能として「信頼できる連絡先」の機能が提供されている。「信頼できる連絡先」を設定すると「セキュリティのための質問」は無効になるので、こちらを使うことをオススメしておく。(「セキュリティのための質問」はアカウント設定に項目が表示されない。現在の設定状況を確認したい時はこのURLで確認できる。)

(2013-08-13 追記)
追加で検証したところ、上記の『「信頼できる連絡先」を設定すると「セキュリティのための質問」は無効になる』は間違いだということがわかった。「信頼できる連絡先」と「セキュリティのための質問」とを両方設定したアカウントでパスワードリセットを試みると、画面遷移上は「信頼できる連絡先」しか利用できないように見える。しかし直接「セキュリティのための質問」を利用するための URLにアクセスすると、「セキュリティのための質問」を利用してリセットすることが可能。
(別記事も参照のこと。)

概要

この方法の鍵となるのは、設定済みの「セキュリティのための質問」が悪用されてしまいもはや安全ではない、と Facebookに認識させることにある。手順の(1)で「セキュリティのための質問」に正しく回答する必要があるため、自分で設定した回答を忘れてしまった場合にはこの方法は使えない。また手順(2)では現在のパスワードでログインし直す必要がある。

前提条件
・対象となるFacebookアカウントにログインできること (現在のパスワードを知っていること)
・設定済みの「セキュリティのための質問」の回答を知っていること

手順
(1) パスワードリセット機能を利用してパスワードを再設定する。
(2) 古いパスワードでログインする。
(3) アカウント再開の手続きを行う。

以下、順に詳しくみていく。

1. パスワードをリセットする

まずはパスワードリセット機能を使ってパスワードを再設定する。このとき「セキュリティのための質問」に回答する。*2

1-1. 「パスワードを忘れた場合はこちら」をクリックする。
1-2. メールアドレスや名前などを入力して対象のアカウントを特定する。
1-3. 「上記メールアドレスが利用できない場合」をクリックする。
1-4. 新しいメールアドレスを入力する。
1-5. 「セキュリティのための質問」に対する回答を入力する
1-6. 新しいパスワードを入力する。

このあと (1-4) で入力したメールアドレスにリンクが送られてくるが、何もしなくてよい。また (1-6) で設定したパスワードは以降の手順では使用しない。

ちなみに (1-4) のメールアドレス入力画面が表示されず (1-5) の画面に遷移しない場合や、直接 (1-5) の URLを指定してもエラーが表示される場合、そのアカウントでは「セキュリティのための質問」が設定されていないか、無効になっている*3

2. 古いパスワードでログインする

パスワードリセットを実行したあと、古いパスワードでログインする。アプリやブラウザなどログイン済みのセッションが存在する場合には強制的にログアウトされるので、再度ログインを行う*4
ここは重要なポイントなので間違えないように。さきほど新しく設定したパスワードではなく、そんなものは知らないよーと何食わぬ顔をして古いパスワードを使うこと。

2-1. 古いパスワードでログインする。
2-2. 「誰かがあなたのアカウントにアクセスしようとしました」というメッセージが表示される。
→ 「私ではありません」をクリックする。
2-3. 「誰かがアカウントにアクセスしようとしましたか?」 というメッセージが表示される。
→ 「アカウントの安全を確保」をクリックする。

(2-1)の時点ではパスワードリセットが実行されたあとで、アカウントはロック状態になっている。しかし古いパスワードでログインし、パスードリセットは自分が実施したものではないと申告することにより、正規のユーザではない第三者が不正にパスワードリセットをかけたことにできる。この場合、古いパスワードでログインしてきたのが正規ユーザと判断され、アカウントを再開するための手続きが開始される。

3. アカウント再開の手続きを行う

ここでは新しいパスワードの設定、登録されているメールアドレスの確認、このアカウントで最近行われた設定変更の確認などが行われる。その中で今回の目的である「セキュリティのための質問」も再設定することができる*5。(ただし設定を無効にすることはできない。)

3-1. 「セキュリティのための質問」に回答し、本人確認を行う。
3-2. 新しいパスワードを設定する。
3-3. メールアドレスを確認する。
3-4. 最近行われた変更内容を確認する。
3-5. 「セキュリティのための質問」を再設定する。
3-6. 「ログイン」をクリックすると、アカウントのロックが解除される。

以上で再設定は完了。おそらくこの方法で再設定したい人はほとんどいないし、誰得な情報ではあるが、せっかく調べたので一応記事にしておく。

*1:再設定によって、「セキュリティのための質問」を使ったパスワードリセット機能が無効になる可能性がある。まあ悪用はされなくなるので目的は達成していると言える。

*2:パスワードリセットは普段ログインしている環境とは異なる環境から実施したほうがよい。例えば Tor Browserを使用するなど。

*3:「セキュリティのための質問」を設定した直後も無効になっており、数日経過しないと有効にならない。

*4:強制的にログアウトされるかどうかはパスワードリセット時の設定による。

*5:画面キャプチャするのを忘れたので細かい手順は省略。またアカウント再開がこのとおりにスムーズにいかない可能性もある。→ 手順を再度確認できたので追記した。