Instagramの乗っ取り

概要

• Instagramに対し、正規のアクセス権限を持たない者が、他人の電話番号等を聞き出し、ネットワークを通じ不正にアカウントを奪取することをいいます。

具体的な手口

• Instagramのパスワードリセット申請を悪用した手口です。
• 本人を確認する方法を電話番号でしか登録していない場合、悪用される可能性があります。

• 手口について、乗っ取られる側と乗っ取る側の視点で説明します。

乗っ取られる側

• Instagramにおいて、知人等のアカウントから、ダイレクトメッセージ等が届きます。
• ダイレクトメッセージの内容は様々ですが、最終的に電話番号を聞かれます。
• 電話番号を教えると、電話番号あてにショートメッセージが届きます。
• ショートメッセージの内容を聞かれ、相手に教えると、アカウントにログインできなくなります。（ショートメッセージ内には、パスワードリセットに必要な認証コードが含まれています。）
• Instagramのアカウントを作成した際に、本人情報として登録した電話番号を元に、パスワードをリセットしてアカウントを取り戻そうとしても、登録していた電話番号が変更されてしまい、本人認証ができません。

乗っ取る側

• Instagramにおいて乗っ取りたい相手から電話番号を聞き出します。
• 聞き出した電話番号を元にパスワードリセット申請を行います。
• パスワードリセット申請を行うことで、乗っ取りたい相手にショートメッセージを送ります。
• 乗っ取りたい相手からショートメッセージの内容を聞き出します。（ショートメッセージ内には、パスワードリセットに必要な認証コードが含まれます。）
• パスワードや、その他登録内容を変更することで、アカウントを乗っ取ります。

事前対策

• 電話番号あてに届くショートメッセージの内容は十分に確認しましょう。
• ショートメッセージに記載された認証コードは本人しか知り得ない情報です。安易に他人に教えないようにしましょう。
• 電話番号以外にも、認証アプリを利用した2段階認証やパスキー等の本人認証登録を行いましょう。

対処方法

• 乗っ取られる流れとして、本人認証を突破され、本人認証情報が変更されます。本人認証を突破された時点であれば、本人認証にてアカウントを取り戻せますが、本人認証情報を変更されてしまうと、本人認証方法では取り戻すことはできません。
• その他本人認証登録をしている場合は、その他の本人認証を試してください。
• 電話番号での本人認証登録しかしていなく、上記の手口でアカウントを乗っ取られると、自力でアカウントを取り返すことは困難です。
• 運営元であるメタ社へ問い合わせてください。検索エンジンにて「Instagram　ヘルプセンター」等で検索すると問い合わせ窓口がみつかります。
• 問い合わせにはInstagramへのログインが必要です。乗っ取られたアカウントに登録した電話番号やメールアドレス以外の情報でアカウントを再作成し、再作成したアカウントから問い合わせしてください。