虚偽の通報でInstagramアカウントを停止に追い込む攻撃

Instagramアカウントの停止を請け負うサービスが、サイバー犯罪者によって提供されています。

ある日突然、訳も分からず自分のInstagramアカウントが停止されてしまう。ショッキングな出来事ですが、特にInstagramを通じてビジネスをしている人にとっては大事件です。このところ、「有害な投稿がなされている」「なりすましアカウントだ」など、事実とは異なる苦情を申し立て、Instagramアカウントを停止に追い込む攻撃が見られています。そこで今回は、この攻撃の仕組み、事前の対策、被害に遭った場合の対処方法についてご説明します。

Instagramのアカウントはどのように停止されてしまうのか

話は実に単純で、所定の料金を支払えば誰かのアカウントを停止・凍結させることができるようなサービスが存在するのです。金額は売り手によってさまざまで、フォロワーの数が料金に反映される場合もあります。

このような攻撃が始まったのは昨年の秋ですが(リンク先は英語)、最近になって特に目立つようになりました。オンラインマガジンの『Motherboard』は最近、とあるサイバー犯罪者グループを取材し、彼らがどのようにInstagramのポリシーを悪用して利益を上げているのかを明らかにしました(英語記事)。

同グループが好んで使用するのは、認証済みアカウント(ユーザー名の隣に青いチェックマークが付いているもの)を悪用して虚偽の苦情を申し立てるという手口です。自分の認証済みアカウントのプロフィール情報(写真やプロフィール説明文など)を標的アカウントとまったく同じ内容に変更し、その上で、標的アカウントを自分のなりすましとしてInstagramに通報するのです。標的アカウントが認証済みアカウントではない場合、Instagramはそのアカウントを停止してしまいます。

もう一つの方法は、標的のアカウントが自殺や自傷行為の画像を投稿しているという苦情を、Instagramのヘルプセンターへ大量に送りつけるという手口です。Instagramは多くの場合、実際のコンテンツを確認することなく、苦情に基づいてアカウントを停止します。

フィッシングなどの場合は、危険なリンクをクリックするといったような被害者側でのアクションが必要ですが、アカウント停止攻撃の場合は何のアクションも必要ありません。利用規約違反を犯すようなことはしていないのに、気付くとアカウントが停止されているという状況です。

Motherboardの記事によると、このアカウント停止サービスは5~60ドル(550〜6,600円)程度と手の届きやすい価格帯であるため、顧客がいなくて困ることはないとのことです。

Instagramの報告システムを悪用する人たちは、金儲け目的の人ばかりではありません。通報を繰り返し行うためのスクリプトは無料で手に入るので、個人的な恨みを晴らしたり気に入らない誰かを黙らせたりすることが誰にでもできるのです。

有料の停止解除サービス

Instagramアカウントの停止は、また別の金儲けのチャンスを生み出します。停止されたアカウントを復旧させる有料サービスの展開です。停止の解除にかかる費用は、アカウントを停止させる場合よりもはるかに高く、最大で3,500~4,000ドル(約40万円前後)とされています。

停止サービスと停止解除サービスの背後にいるのが同じ人たちなのか、2つのサービスがたまたま共生しているのか、現在は不明なままです。アカウントが停止された数分後に復旧サービスの話を持ちかけられる経験をした人も確かにいますが、そのような話は、元々の苦情を申し立てたアカウントのフォロワーから来ることがしばしばです。

Instagramのアカウントが停止されたときの対応

アカウント停止攻撃の被害を受けてしまった場合は、すぐにInstagramのヘルプセンターに連絡して、起きたことを報告しましょう。アカウント停止の不服申し立ては、アプリからでないとできません。アプリを開き、ユーザー名とパスワードを入力し、後は画面の指示に従って申請を進めてください。

有料でアカウントの復旧作業をしてくれるという人が現れても、決してお金を払わないでください。どういう結果になるか保証がありませんし、その人がアカウント停止に追い込んだ張本人である可能性があるので、お金を支払うことで悪事に資金を与えることになってしまう恐れがあります。そもそも、Instagramのヘルプセンターを通じた正式な復旧作業は無料です。

Instagramのアカウントを守るには

残念ながら、実際に被害に遭って初めてアカウント停止攻撃のことを知る人も少なくありません。InstagramがMotherboardに語ったところによると、Instagramはサイバー犯罪者のアカウントを探り出すことを計画中であり、疑わしい動きを見かけたら報告するように求めているとのことですが、このやり方では時間がかかります。そこで私たちからは、Instagramを利用する人自身で対策することをお勧めします。

アカウントの認証を受ける

アカウント停止攻撃は、なりすまされているという虚偽の通報を繰り返すことで成り立っています。したがって、自分のアカウントを守る一番の方法は、事が起きる前に「このアカウントは本人のものである」とInstagramに認めてもらうこと。つまり、アカウントの認証を今すぐ受けることです。

Instagramが利用者一人一人に確認を取ることはなくても、認証取得を後押しするポイントはあるかもしれません。例えば、あなた個人またはあなたの仕事が複数のニュースソースで取り上げられている場合、そこも考慮されます。認証バッジを取得するに当たっては、疑念を持たれないように、プロフィール情報をきちんと入力し、古いアカウントがある場合は削除しましょう。当然ながら、アカウントは公開されている必要があり、Instagramの利用規約に準拠していなければなりません。

アカウントの認証を申請する準備が整ったら、認証を申請します。申請はアプリから直接行います。手順は以下のとおりです。

  • アカウントにログインし、設定画面に移動します。
  • [アカウント]を選択します。
  • [認証をリクエスト]を選択します。
  • 氏名を入力し、必要な本人確認書類を添付します。
  • 表示される指示に従って手続きを進めます。

アカウントを非公開にする

認証審査を通るほどの知名度がない場合は、思い切ってアカウントを非公開にしてしまいましょう。非公開にすれば、投稿の文面や写真、動画はフォロワーにしか見えなくなるので、攻撃者がこういったものをコピーしてそっくりのアカウントを作るようなことはありません。

アプリからでもブラウザーからでも、アカウントを非公開にするのは難しくありません。詳しい手順については、Instagramのセキュリティとプライバシーの設定に関する記事をご覧ください。

面倒かもしれませんが、フォロワーも整理するようにしましょう。また、フォローリクエストを受け取った場合は、許可する前に相手をきちんと確認しましょう。ボットや存在感の薄いアカウントの背後には、攻撃者が潜んでいる可能性があります。そのようなアカウントからのフォロー要請を受ける義務はありません。

プロフィール画像を変更する

ビジネスに使っているアカウントの場合、閉鎖することはできないけれども認証を取得できるほどの知名度もない、という状況もありそうです。また、何らかの理由でアカウントを非公開にできない場合があるかもしれません。そういった場合には、プロフィール画像を変更することでアカウント停止攻撃のリスクを抑えることができます。

虚偽のなりすまし通報が最も効果を発揮するのは、アカウント所有者の実際の写真をプロフィール画像に使っているアカウントに対してです。アカウント停止攻撃を扱う地下サービスの中には、本人写真以外の画像を使用しているアカウントを標的とすることを拒否するところもあります。つまり、本人の写真以外の画像を使用していると、攻撃されにくくなるということです。どんな小さなことも役に立つものです。

バックアップをとり、連絡先情報を更新する

Instagramの運営側は不当な苦情にできるかぎり立ち向かいますが、相手にしているのは、金儲けの手口を日々ブラッシュアップしているサイバー犯罪者であり、理想のとおりに事が進むとはかぎりません。そこで、逃げ道を用意しておくことをお勧めします。

まず、アカウントに紐づけているメールアドレスと電話番号が利用できることを確認しましょう。アカウントが不当に停止された場合、復旧のためにこのメールアドレスと電話番号が役立ちます。

次に、アカウントのコンテンツは定期的に保存しましょう。こうしておけば、最悪の事態になったとしても、保存しておいたコンテンツを新しいアカウントに移行することができます。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?