riku 
最近、Instagramのアカウントが乗っ取られる被害が急増しています。筆者の周りでも、数名が被害に遭い、アカウントの変更を余儀なくされています。本記事では、その手法の解説と対策方法について解説します。
新手の乗っ取り手法
今現在多発している、新しい乗っ取り手法は、チェーンメールに近い手法です。
アカウントが乗っ取り被害を受けると、自身のフォロー中ユーザー・フォロワーに、無差別で乗っ取り用のURLが一気に自動的に送信されます。この送信は、パスワードを変更した上で、不正ログインをしたユーザーをアクティビティからログアウトさせるまで続きます。
このURLをクリックし、表示されたページでパスワードを入力してしまった他のユーザーがさらに乗っ取り被害を受け、無差別にリンク送信され……と、連鎖的に乗っ取り被害が拡大していきます。
実際に乗っ取り被害を受けた例。スクロールしているわけではなく、自動的に次々に送信されている。
送信されてくるリンクは短縮URLであり、「This took me about a few hours to make. I really hope you love it.(この作品は、数時間かけて作りました。気に入ってもらえるといいのですが。)」というメッセージと一緒に送られてきます。
アクセスすると、偽のログイン画面が表示されます。このログイン画面にパスワードを入力してしまうと、パスワードが攻撃者にバレてしまい、不正ログインが行われます。このログイン画面が巧妙に作られており、しっかりと自分のInstagramのIDとアイコンが表示されます。また、リンクも「instagram.com」から始まります。
「登録する」は、本物のInstagramページにリンクされていた
ただ、このリンクに関しては、冒頭をみただけではリンク全体がわからないようにされています。
実際のリンクは「instagram.com-verify- xxxxx.com」(xxxはランダムな文字列と見られる)であり、「com-verify-xxxxxxxx .com」が実際のドメイン、「instagram」はサブドメインで、パッと見てInstagram本物のページであるかのように表示されています。
本来のドメイン「instagram.com」の後に、さらにアドレスが続いている。
このページにパスワードを打ち込み、ログインボタンを押すと、攻撃者にアカウントのパスワードが送信されるようです。
さらに、その後ロボットではないことを確認するでお馴染みの「reCHAPTCHA」に似たページが表示され、認証しようとすると、アプリのインストールを要求されます。このページに限らずですが、通常は、認証を完了させるために、未関係のアプリインストールを要求することはありません。
「マフィアシティ」のダウンロードを要求された
現在、筆者に送信されてきた複数のリンクに関しては、Instagramがすでに検閲済みであるか、暗号化されていないため、Instagram内でアクセスしようとすると警告が表示されます。しかし、乗っ取り犯は対策されたらまたURLを変更するので、結局いたちごっこになってしまいます。
もしパスワードを入力してしまったら
もしパスワードを入力してしまい、DMの無差別送信攻撃が開始されてしまったら、次のことを迅速に行うことで、被害の拡大を防ぐことができます。
まずは、パスワードの変更。Instagramの設定から、セキュリティ→パスワードの順に進み変更を行います。万が一攻撃者によってパスワードが変更されてしまっており、変更が行えない場合、「パスワードを忘れた」画面より、パスワードを変更します。
次に、自分が使用している端末以外からアカウントをログアウトさせます。Instagramの設定→セキュリティ→ログインアクティビティから、ログインされた場所と端末名が表示されますので、今ログインしている端末以外を全てログアウトさせます。特に、他の国からログインされている場合は、迅速にログアウトさせる必要があります。
対策
この乗っ取りの被害に遭うと、自分だけでなく、周囲の人にまで被害を及ぼしてしまい、間接的に加害者になってしまう可能性があります。筆者は、2段階認証の設定を行うことを推奨します。これだけで、パスワードを知られてもログインされることを防げ、アカウント乗っ取り被害に遭う可能性を大幅に軽減できます。
Instagramは、アカウントを作成した段階では、2段階認証はオンになっていません。Instagramの2段階認証は、SMSもしくは「Google 認証システム」「Duo Mobile」アプリの認証コードを使って行うことができます。認証アプリを使用した2段階認証であれば、電話番号がなくても設定可能です。
2段階認証設定方法は以下の通り。
- Instagramの設定→セキュリティ→2段階認証
また、パスワードもより強固なものにすることも必須。筆者の周りで被害を受けた友人の話では、InstagramアカウントのIDとパスワードを同じにしていたとのこと。
IDと同じパスワードを設定できるようにしているInstagramにも驚きですが、これでは無差別ログインを受けた時に必ずログインされてしまいます。自分の誕生日や名前を含まない、8文字以上で大文字や記号を含む強固なパスワードに変更しておくことが大切です。もちろん、複数のサービスでのパスワード使い回しもご法度です。
まとめ
最近では、攻撃者はより巧妙な手口でさまざまなアカウントを乗っ取ろうとしてきます。今回のDMだけでなく、ショートメッセージを利用した、なりすましや偽ログインフォームによる情報の搾取も相次いでいます。特に、最近ではメルカリに関連した乗っ取りを行おうとする攻撃者が増加しているように感じます。
絶対に覚えておいて欲しいのは、「DM・ショートメッセージに送られてきたURLから、ログインページに飛ぶことはおかしい」ということ。TwitterでもInstagramであっても、もちろん他のサービスにおいても、ダイレクトメールは個人間での非公開のやりとりを主な目的として用意されているもの。利用中のサービスに関わるログインなどの重要な通知は、アプリから通知され、DMでやりとりされることはありえません。
また、現在のほぼ全てのサービスにおいて、ショートメッセージを用いて、ログインページに誘導したり、不在配達の通知や携帯電話・クレジットカードの利用料通知など、外部URLを用いてを行うことはありません。
筆者は、iMessageや+メッセージといった、ショートメッセージを受信できるアプリに届いたURLや、各SNSサービスのダイレクトメールに届いたURLは、どんなに仲の良い知人や家族から送られてきたとしても、開かないことを強く推奨します。
まずは、送信主の知人や家族に直接確認をし、どのような目的で送信されたのか確認した上でURLにアクセスすることが、一番安全であり、周囲を守ることにもつながると考えています。
