Instagramアカウント乗っ取りを狙う、偽の著作権侵害通知

2019年3月25日

あなたのInstagramアカウント、フォロワー数はどれくらいですか?数千人?それ以上?Instagramのインフルエンサーであるということは、アカウント窃盗団があなたを狙っている可能性が高いということでもあります。

Instagramの人気アカウントを標的にした、新たなフィッシング詐欺が急増しています。その仕組みを説明しましょう。

偽の著作権侵害通知

「Your account will be permanently deleted for copyright infringement(著作権侵害のため、あなたのアカウントは永久に削除されます)」。このような内容の、見るからに公式っぽい通知メールが、あなたの元に届きます。Instagramのおなじみのヘッダーとロゴが付いており、差出人フィールドに示されたアドレスも正規のものとよく似ています(「mail@theinstagram.team」または「info@theinstagram.team」であることがほとんど)。

メールには、異議がある場合は24時間(48時間の場合もある)以内に申し立てるようにと書かれていて、[Review complaint(苦情内容の確認)]というボタンも付いています。このボタンをクリックすると、いかにもそれらしいページが開きます。これは詐欺師たちが作ったフィッシングページで、「私たちは著作権保護を重要視しています」という内容の画像と共に、異議申し立て用の[Appeal(異議申し立て)]というリンクがついています。さらに本物らしく見せるため、言語選択用の長いリストボックスもありますが、このリストは機能しません。何をクリックしても、フィッシングページは英語のままです。

[Appeal]リンクをクリックすると、Instagramの認証情報の入力が求められます。それだけではありません。情報を入力するとすぐに、「We need to verify your feedback and check if your e-mail account matches the Instagram account(あなたのフィードバックを確認し、メールアカウントがInstagramアカウントと一致するかどうかをチェックする必要があります)」というメッセージが表示されます。[Verify My E-mail Address(メールアドレスを確認)]をクリックするとプロバイダーのリストが現れ、そこで自分のメールプロバイダーを選択すると、メールアドレスと(なんと!)メールアカウントのパスワードの入力を求められます。

続いて、「We will review your feedback(フィードバックを確認します)」という応答がほんの数秒表示されます。さらにこの後、本物のInstagramのWebサイトに移動しますが、これも、リアルさを出して信用させるためのちょっとしたトリックです。

Instagramのインフルエンサーが詐欺師の標的になるのは、これが初めてではありません。Instagramフィッシングの第一波は、認証バッジ(青いチェックマーク)を申請したいという心理を突いたものでした。

Instagramアカウントを保護するには

あなたのデータを手にした犯罪者は、すぐにInstagramプロファイルを乗っ取り、アカウントを取り戻すために必要な情報を変更してしまう可能性があります。こうしておいて、アカウントの返却と引き換えに身代金を要求する、乗っ取ったアカウントを使ってスパムメールや悪意あるコンテンツをばらまく、といった行為に及びます。メールアカウントのパスワードも渡ってしまったら、影響範囲はさらに拡大します

Instagramアカウントを守るため、以下の点に注意してください。

  • 怪しいリンクはクリックしないようにしましょう。
  • Webページのアドレスバーに表示されているURLを、必ずチェックしましょう。「instagram.com」ではなく、「1stogram.com」や「instagram.security-settings.com」のようなURLであったりする場合は、すぐにそのページから離れてください。個人情報を入力するなど論外です。
  • Instagramのアプリを利用する場合は、公式ストア(AndroidならGoogle Play、iOSならApp Store)から公式のアプリを入手して使うようにしましょう。
  • サードパーティのサービスやアプリの認証には、Instagramアカウントのログイン情報を使わないようにしましょう。
  • Instagramとメールアカウントの両方で2段階認証を有効化しましょう。
  • 疑わしいメッセージをふるい分ける機能やフィッシングページをブロックする機能を持つ、信頼できるセキュリティ製品を使いましょう。カスペルスキー セキュリティは、こういった機能を備えています。