Instagramアカウントを乗っ取る手口

2018年8月29日

※2018年8月30日更新:認証バッジのリクエストに関する記述を更新しました

Instagramは世界で2番目に人気のあるSNSというだけでなく、大勢のフォトブロガーやモデル、ネット上の有名人にとって収入を得る手段でもあります。数千人ものフォロワーを抱えた目立つアカウントには、ファンだけでなくサイバー犯罪者も興味を持ちます。そんなアカウントが盗まれたならば、ひどい結果になりかねません。それにしても、Instagramのアカウントは一体どのようにして盗まれるのでしょうか?どのようにしたら盗まれないのでしょうか?

乗っ取りの手口その1:偽の認証

お気づきだと思いますが、Instagramのアカウントの中には、アカウント名の隣に青いチェックマーク(認証バッジ)が付いているものがあります。つい最近まで、このマークは著名人、大企業、有名なブロガーなどのアカウントに付与されるステータスシンボルでした。評判の高さを示すものであり、また、なりすましアカウントと区別するものでもあるため、大勢のフォロワーを抱えるアカウントにとって認証バッジは特に重要な意味がありました。認証バッジの取得は、簡単なことではありませんでした。リクエストフォームがあるわけではなく、バッジを買える場所があるのでもなく、Instagram側が誰にバッジを付与するかを決定していたのです。

最近になって、Instagramは認証バッジに関する方針を変更し、アプリからリクエストが可能になりました。アプリのプロフィール画面で[設定]をタップし、表示された[オプション]画面にある[認証をリクエスト]をタップすることでリクエストでき、アカウントが要件を満たしていれば認証バッジが付与されます。

この変更があったのはつい最近のことで(2018年8月29日)、まだこの機能について知らない利用者もいます。こういった状況を、詐欺師たちは悪用します。彼らはInstagramのヘルプセンターを装った偽サイトを作成し、認証バッジを提供するために必要だとの名目で、ユーザー名、パスワード、メールアドレス、氏名、生年月日などの詳細情報を求めます。

これらのデータを入力すると、認証の確定まで24時間待つように、その間はアカウントの設定を変更しないように、と指示されます。情報は犯罪者へと渡り、情報を入力した人は、アカウントが侵害されたことに気付かぬまま、ただ待つことになります。

この方法は、利用者の個人情報を取得するのにも使われる可能性があります。個人情報があれば、サイバー犯罪者は2段階認証を回避できるようになります。

サイバー犯罪者は、詳細確認のためにサポートサービスから連絡をする可能性がある、というメッセージを表示します。そして実際に「サポートサービス」(実体はサイバー犯罪者)から連絡が入り、SMSコードかその他セキュリティ情報を聞いてきます。さらに、サポートサービスを装ったメッセージを送りつけ、認証に必要だという建前で情報(本物のサービスが提出を要求しそうな、写真などのデータ)を求める場合もあります。こういった情報があれば、サイバー犯罪者はアカウントの本来の持ち主に隠れて本物のサポートサービスとやりとりできます。

乗っ取りの手口その2:昔ながらのフィッシング

偽のログインページまたは偽のパスワードリセットページへと誘導する、一般的なフィッシング手法も相変わらず使われています。たとえば、アカウントがハッキングされたというメッセージを送って脅したり、ログイン情報を更新する必要があると連絡したり、SNSにログインしないとできないような提案(「写真を評価しよう」など)をしたり、という例があります。

Instagramのログインページを模倣したフィッシングページの例

世界中に10億人以上の利用者を抱えるInstagramは、あらゆる種類の詐欺の標的となってきました。アカウントを乗っ取った詐欺師は、個人情報とメッセージにアクセスできるようになります。それだけでなく、そのアカウントを使ってスパムやフィッシング、悪意あるコンテンツを拡散することも可能です。アカウントの乗っ取りでよくあるのは、アカウントを乗っ取った人がハンドル名、プロフィール写真、メールアドレス、関連づけられた電話番号を変更してしまうことです。こうなると、本物の所有者が自分のアカウントを取り戻すことはほぼ不可能となります。

Instagramのアカウントを乗っ取りから守るには

いつものことですが、予防は治療に勝ります。治療がほぼ不可能な場合は、なおさらです。安全でいるためには、以下の簡単な対策を常に念頭に置いて行動しましょう。

  • 怪しいリンクはクリックしないようにしましょう。
  • Webページのアドレスバーに表示されているURLを、必ずチェックしましょう。「com」ではなく、「1stogram.com」「instagram.security-settings.com」のようなURLであったりする場合には、すぐにそのページから離れてください。個人情報を入力するなど論外です。
  • SNSアプリを利用する場合は、公式ストア(AndroidならGoogle Play、iOSならApp Store)から公式のアプリを入手して使うようにしましょう。
  • サードパーティのサービスやアプリの認証には、SNSアカウントのログイン情報を使わないようにしましょう。
  • 疑わしいメッセージをふるい分ける機能やフィッシングページをブロックする機能を持つ、信頼できるセキュリティ製品を使いましょう。カスペルスキー セキュリティは、こういった機能を備えています。

最後になりますが、Instagramアカウントの適切な設定方法については、こちらの記事をご覧ください。