お笑いコンビ「アインシュタイン」稲田直樹さんのInstagramアカウントが不正ログインされ、30代男性が不正アクセス禁止法違反の容疑で逮捕された。稲田さんはパスワードを推測されたことによる被害とみられているが、ITジャーナリストの鈴木朋子さんは「ここ最近、新たな手口によるInstagramの乗っ取りが急増している」という――。
写真=iStock.com/mapo
※写真はイメージです - 写真=iStock.com/mapo

■知人から突然のDM「私に投票して」

「オンライン料理コンテストに立候補したから私に投票して」――知り合いから届いた一通のDM(ダイレクトメッセージ)により、Instagramアカウントを乗っ取られる件が多発している。

メッセージの文面は少しずつ異なり、「アンバサダーへの立候補」や「釣りコンテストに立候補」などのパターンがある。投票を快諾すると、携帯電話番号を尋ねられる。相手に携帯電話番号を伝えると、ショートメッセージに6桁の数字が送られてくる。その数字を相手に伝えると、Instagramアカウントを乗っ取られてしまうのだ。

撮影=プレジデントオンライン編集部
実際に乗っ取られたアカウントから来たメッセージ。携帯電話番号とコードを知りたいという - 撮影=プレジデントオンライン編集部

■メアドやパスワードを変更されてしまう

セキュリティを強化していなければ、携帯電話番号と認証コードだけで相手はあなたのInstagramアカウントに不正ログインできる。すぐにメールアドレスやパスワードを変更されてしまい、自分のアカウントにもかかわらずログインできなくなってしまう。

そして、あなたのアカウントを踏み台にし、繋がっているアカウントに対して同様のDMをばらまく。Instagramのストーリーズに暗号通貨への投資を呼びかける投稿をされる場合もある。

こうした乗っ取りが行われるのはなぜか、まずはその手口から解説する。

まず、乗っ取りは知人のアカウントから行われる。知人なので信じてしまうが、その人も乗っ取りの被害者だ。

相手を信用して携帯電話番号を教えると、その番号は「WhatsApp」のアカウント作成、もしくはログインに使われる。WhatsAppとは、InstagramやFacebookを運営するMetaによるメッセンジャーアプリだ。日本ではあまりなじみがないが、海外ではよく使われている。

写真=iStock.com/stockcam
※写真はイメージです - 写真=iStock.com/stockcam

■「WhatsAppの乗っ取り」だけでは済まない

携帯電話番号を入力すると、WhatsAppはショートメッセージで認証コードを送信する。携帯電話番号の持ち主であるかどうかを確認するためだ。先ほど、「6桁の数字を教えて」と言われた数字はこの認証コードにあたる。

認証コードを入れると本人確認ができてしまうため、WhatsAppのアカウントが相手の手に渡る。すでにWhatsAppのアカウントを持っている場合、パスワードをリセットされてしまう。

乗っ取り犯はWhatsAppのアカウントで、Metaの「アカウントセンター」へと移動する。アカウントセンターとは、WhatsApp、Instagram、Facebookなど、Metaのアカウントをまとめて管理できる機能だ。このアカウントセンターにWhatsAppからログインし、Instagramのアカウントを操作するわけだ。

筆者撮影
Meta「アカウントセンター」はアカウントを一括管理できる - 筆者撮影

InstagramのアカウントとWhatsAppのアカウントを連携するには、Instagramのパスワードが必要となるため、すでに流出している情報から得ているのか、個人情報から推測して割り出している可能性がある。そして、乗っ取り犯はInstagramに不正ログインすると、すぐにメールアドレスとパスワードを変更する。ちなみに、二段階認証を設定している場合は、ここでアカウント連携を食い止められる。

詐欺行為に加担させられる可能性も

なぜWhatsAppを経由するのかが不可解なのだが、日本人でWhatsAppアカウントを持っている人は少ないとはいえ、WhatsAppに登録されている「連絡先」も狙っているのかもしれない。また、WhatsAppからInstagramのストーリーズに投稿をシェアすることもできるため、Instagramの乗っ取りに失敗しても詐欺の投稿はできる。

もっとも、いきなり携帯電話番号でInstagramのログインを試み、パスワードリセット用の認証コードを手に入れて乗っ取るケースもあるだろう。

さて、乗っ取り犯がInstagramやFacebookのアカウントを乗っ取る目的は何か。

ひとつは、「踏み台」とすることだ。SNSアカウントをひとつ入手すれば、数十〜数千のアカウントへDMを送れる。アカウントを闇市場で売ることもできる。

もうひとつは、「詐欺」を働くためだ。SNSアカウントを手に入れれば、その人になりすますことができる。投資詐欺やロマンス詐欺はInstagramやFacebookからLINEへ誘導されて実行されるため、自分のアカウントがその入り口として利用される可能性もある。さらに、アカウントに保存していた個人情報や投稿に使用していた画像を奪われる。パスワードを生年月日にしている人は、ショッピングサイトなどにログインされてしまうかもしれない。ソーシャルログイン(GoogleやFacebookなどのアカウント情報で他サービスにログインする機能)で、他のWebサービスに不正ログインされてしまう可能性もある。

SNSサービスは必ず二段階認証の設定を

実際の被害はなくても、大切な友人や知人を危険にさらしてしまう。アカウントを乗っ取られることで、自分が加害者になってしまう羽目に陥るのだ。交流関係の信頼も失墜しかねない。たかがSNSアカウントの乗っ取りではなく、実害が出て精神的にも大きな痛手となる。

では、どのように自分のアカウントを守ればいいのだろうか。紹介した例では、携帯電話番号や認証コードを教えてしまったことがあだとなった。仕事などで携帯電話番号を伝える必要がある機会もあるだろうが、数字のコードを送るように言われたら疑ったほうがいいだろう。

SNSなどのサービスは、二段階認証を設定しておくことも大切だ。二段階認証とは、IDとパスワードの入力に加えて、別の方法で本人確認を行う仕組みだ。InstagramやFacebookには、二段階認証を設定できる。今後、生体認証などでログインする「パスキー」が導入されたら、ぜひパスキーも設定してもらいたい。

筆者撮影
Instagramでは「設定とアクティビティ」の「アカウントセンター」から「パスワードとセキュリティ」を開くと、二段階認証を設定できる - 筆者撮影

もしInstagramアカウントを乗っ取られてしまったら、Instagramに携帯電話番号を入力し、「パスワードを忘れた場合」からサポートをリクエストしてほしい。Instagramは「セルフィー動画の送信」により、ロボットでないことを判断し、本人確認を行う。確認されると、アカウントを取り戻すことができる。

詳細は、こちらのInstagramヘルプセンター「Instagramアカウントが不正アクセスされたと思われる場合」を参照。

■もし自分がなりすまされたら…

WhatsAppはサポートに連絡し、指示をあおぐ。アカウントを取り戻せたら、二段階認証でセキュリティを強化しよう。

今回は最新の手口を紹介したが、単純な「なりすまし」の被害も相変わらず多い。著名人やインフルエンサー、有名企業の場合、コピーしたプロフィール画像と似たようなアカウントを作成され、投資詐欺を目的としたLINEグループへの誘いを送られることがある。もし自分がなりすまされた場合は、すぐに他のSNSなどで注意を呼び掛け、プラットフォームに「報告」してほしい。

筆者撮影
なりすましアカウントはLINEグループに誘導することが多い - 筆者撮影

詐欺師は次々と新たな手で私たちに襲い掛かる。しかし、手口としては似ているケースが多い。私たちにできることは、アカウントのログインに関わる情報を簡単に人に伝えないようにすることだ。そして、複雑なパスワードの設定、パスワードの使いまわしを避ける、二段階認証などのセキュリティ強化は必ず設定するといった基本をしっかり守り、安心安全にInstagramを楽しんでほしい。

----------
鈴木 朋子(すずき・ともこ)
ITライター・スマホ安全アドバイザー
メーカー系SIerのSEを経て、フリーランスに。SNSなどスマートフォンを主軸にしたIT関連記事を多く手がける。10代の生み出すデジタルカルチャーを追い続けており、子どもの安全なIT活用をサポートする「スマホ安全アドバイザー」としても活動中。著作は『親が知らない子どものスマホ』(日経BP)、『親子で学ぶ スマホとネットを安心に使う本』(技術評論社)など多数。
----------

(ITライター・スマホ安全アドバイザー 鈴木 朋子)