Instagramの乗っ取り

概要

• Instagramに対し、正規のアクセス権限を持たない者が、他人の電話番号等を聞き出し、ネットワークを通じ不正にアカウントを奪取することをいいます。

具体的な手口

• Instagramのパスワードリセット申請を悪用した手口です。
• 本人を確認する方法を電話番号でしか登録していない場合、悪用される可能性があります。

• 手口について、乗っ取られる側と乗っ取る側の視点で説明します。

乗っ取られる側

• Instagramにおいて、知人等のアカウントから、ダイレクトメッセージ等が届きます。
• ダイレクトメッセージの内容は様々ですが、最終的に電話番号を聞かれます。
• 電話番号を教えると、電話番号あてにショートメッセージが届きます。
• ショートメッセージの内容を聞かれ、相手に教えると、アカウントにログインできなくなります。（ショートメッセージ内には、パスワードリセットに必要な認証コードが含まれています。）
• Instagramのアカウントを作成した際に、本人情報として登録した電話番号を元に、パスワードをリセットしてアカウントを取り戻そうとしても、登録していた電話番号が変更されてしまい、本人認証ができません。

乗っ取る側

• Instagramにおいて乗っ取りたい相手から電話番号を聞き出します。
• 聞き出した電話番号を元にパスワードリセット申請を行います。
• パスワードリセット申請を行うことで、乗っ取りたい相手にショートメッセージを送ります。
• 乗っ取りたい相手からショートメッセージの内容を聞き出します。（ショートメッセージ内には、パスワードリセットに必要な認証コードが含まれます。）
• パスワードや、その他登録内容を変更することで、アカウントを乗っ取ります。

事前対策

• 電話番号あてに届くショートメッセージの内容は十分に確認しましょう。
• ショートメッセージに記載された認証コードは本人しか知り得ない情報です。安易に他人に教えないようにしましょう。
• 電話番号以外にも、認証アプリを利用した2段階認証やパスキー等の本人認証登録を行いましょう。
• 個人情報を安易に投稿しないようにしましょう。

対処方法

• 基本的に個人とインスタグラム間の手続きであり、個人で手続きをしてもらうこととなります。
• 検索エンジンにて「Instagramヘルプセンター」等で検索し、Instagramヘルプセンター内の不正アクセスに関するページの内容を確認し、該当する項目から復旧手続きを行ってください。
• 二次被害防止のためフォロワーに対し乗っ取られた旨を周知してください。