フィッシング詐欺のようなサイバー犯罪の常套手段から認証バッジを使った詐欺まで、Instagramで頻繁に用いられる詐欺の手口について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
Instagramは最も人気のあるソーシャルメディアプラットフォームの1つだ。実際、月間アクティブユーザーは10億人を超え、世界で4番目に利用されているソーシャルメディアネットワークとなっている。標的となり得る利用者が多いため、蜜に群がる蜂のようにサイバー犯罪者を引き寄せてしまう。
それでは、Instagramのフィードを眺めたり、ほかのユーザーとダイレクトメッセージで交流したりする際に遭遇する危険性のある詐欺の手口について見てみよう。
フィッシング詐欺
フィッシング詐欺は、やや大げさに言うとインターネットの歴史と同じくらい古くから存在するものであり、サイバー犯罪者によって繰り返し利用されてきた。フィッシング詐欺の最終的な目的は、個人情報や認証情報を詐取し、不正に悪用することだ。そして、なりすましに使われたり、ダークウェブ上のマーケットプレイスで販売されたりしている。
例えば、第三者がアカウントにログインしたことを装うEメールを送りつけるなど、緊急性を煽る手口はよく見られる。これらのEメールには偽のパスワード更新用のリンクが含まれており、クリックすると巧妙に作られた偽のログインページへ誘導される。そこでInstagramのアカウント情報が詐取され、犯罪者のアクセスを許してしまうのだ。
犯罪者は、著作権侵害の疑いがあると騙り、解決するにはリンクをクリックして、必要な項目をフォームに入力するよう促すケースもある。この場合も偽のログインページへと誘導されてしまう。Eメールだけでなく、Instagramのサポートになりすまし、直接ダイレクトメッセージで連絡してくるケースもある。
Instagram (@instagram)
Instagramから送られたように見えるEメールを受け取るかもしれませんが、それは偽物です。ハッキングやフィッシングの被害を避けるために以下の対策を講じてください。
- Instagramからの連絡を受ける方法について設定を確認しよう。設定されていなければ、そのEメールは偽物です。
- 二要素認証(2FA)を設定しよう。
このような詐欺に遭わないために、文法が間違っていたり、パーソナライズされていない誰にでも転用可能な挨拶文など、怪しい兆候を見逃さないようにしてほしい。また、送信者のEメールアドレスにも注意が必要だ。公式のEメールアドレスでなければ、詐欺の可能性が高い。
クローンによる攻撃
Instagramで有名人や有名なスポーツチームのアカウントを検索していると、コピーされたアカウントを見かける場合もある。アカウントのクローンは、有名な俳優、歌手、アスリートに限ったことではない。普通のInstagramユーザーのアカウントさえも容易にコピーされてしまう。サイバー犯罪者はコピーした人になりすまし、その友人やフォロワーに接触しようと試みる。
その筋書きはこうだ。攻撃者は正規のアカウントの方がハッキングされ、新しいアカウントから連絡していると騙る。そして、「ハッカー」が銀行口座から金銭を詐取した、あるいはアカウント所有者自身が金銭的な問題に発展していると伝える。被害者の心理を煽るソーシャルエンジニアリングの手法も悪用され、友人や家族を助けようとする親切な被害者は金銭を詐取されてしまう。
このような詐欺に多くの人が引っかからないだろうと考えているなら、残念ながらそれは間違いだ。ESET社のセキュリティ専門家であるJake Mooreは、自身のアカウントをクローンして、この手法の有効性を検証するのに成功している。クローンアカウントから連絡を受けているかを簡単に確認するには、電話などほかの手段で連絡してみるとよい。アカウントを安全に保つためには、アカウントを非公開にし、フォローできるユーザーを厳選するべきだ。
認証バッジ詐欺
アカウントのクローンだけでなく、アカウント認証詐欺、つまり認証バッジ詐欺にも注意する必要がある。認証バッジとは、アカウントの名前の横にある青色のチェックマークのことで、これがあることで本物の有名人、インフルエンサー、企業のアカウントであることを証明する。認証バッジに関するInstagramの説明によると、「本来、認証とは、人々が有名なアカウントをフォローしたり、検索したりしている注目すべきアカウントが、示しているとおりの人物であることを知るための手段である。人々はどのアカウントが正規のもので注目に値するかを知るための方法だ。」と案内されている。
Sharpie (@itsmesharpie)
私たちのビジネス用ページ@instagramには、週に何度もなりすましの被害に遭い、私たちの顧客が金銭を要求されています。認証を受けようと4回ほど試みましたが、成功しませんでした。何度も試して、この結果です。これは本物ではないと思いますし、とても絶望しています。偽物でしょうか?
認証を得られるということは、多くのフォロワーを獲得し、コミュニティの中で相応の影響力を備えていることを意味する。認証を得ることで、商品を宣伝したい企業からのスポンサー契約などを通して、コンテンツから収益を得る道も開かれる。そして、詐欺師はこの認証バッジのメリットを悪用する。この詐欺の手口は以下のようなものだ。詐欺師はダイレクトメッセージを送り、手数料を払えば認証を受けられると連絡してくる。しかし、支払ったところで認証バッジが得られることはない。
Adam Mosseri (@mosseri)
私はあなたを認証することはできません。しかし、認証に申請する際のヒントをまとめました。
詳細はブログを見てください。
認証バッジ詐欺の被害に遭わないよう頭に入れておくべきことは、認証を受ける唯一の方法はInstagram本来のプロセスを踏むものだけだという点だ。利用規約やコミュニティ・ガイドラインを遵守し、公式の申し込みプロセスを利用しなければ認証バッジは得られない。Instagramは悪意のあるユーザーを定期的に排除しており、正規の手段を通さずに認証を得たアカウントが見つかった場合は、即座に相応の措置がとられている。
ロマンス詐欺
ロマンス詐欺の多くはマッチングアプリで見られるが、Instagramのようなソーシャルメディアでも発生している。これらの詐欺では、時間をかけて標的の信頼を獲得するところから始まる。
こうした詐欺では、一般的に長期にわたる求愛活動が行われる。標的の投稿に対して「いいね!」を押したりコメントを書き込む、そして、最終的にはダイレクトメッセージが送られる。標的の信頼を得られたと認識した段階で、急病を装って金銭を要求したり、標的に会うために必要な航空券代の援助を求めたりする。送ってしまったお金は、面会どころか、ほかのものに浪費されるだけだ。
ロマンス詐欺を軽視してはならない。米国連邦取引委員会によると、2020年のロマンス詐欺による被害額は3億400万ドル(338億円相当)に達した。これは米国内で報告された統計に過ぎない。幸い、ロマンス詐欺によって金銭を詐取しようとする詐欺師を見分ける方法はいくつかある。恋人候補が信じられないくらい美しく見えるなら、本人であるか確認するため、Google画像検索を使ってプロフィール画像を検索してみるとよい。また、会うことを避ける、あるいは延期してばかりいる場合は、その理由について問いただすべきだ。そして、ビデオ通話を避けるのも怪しい兆候だ。プロフィール画像と異なる姿が晒されてしまうのを嫌うからだ。
商品販売詐欺
Instagramでは、知り合いや有名人、インフルエンサーのコンテンツをフォローするだけではなく、企業が商品を宣伝し、マーケットプレイスとして利用することもできる。近年、新しいファッションブランドや、在庫処分セール品の広告を目にする機会が増えているのではないだろうか。
しかし、すべてを額面通りに受け取ってはならない。その中には詐欺も含まれている。ブランドや販売者の名称を聞いたことがなかったとしても、それだけでは詐欺とは判断できないが、精査してみる必要はある。高品質な商品をあまりにも安い価格で売っている広告を見たら、少なくとも警戒はすべきだ。リスクを冒して、その広告から商品を購入した場合、何も受け取れないか、低品質の商品や注文とは異なる商品を受け取る可能性もあるだろう。
Googleで検索し、Instagramで見かけた販売者や商品のレビューを確認するとよい。販売者のWebサイトではコメントがねつ造されている可能性があるため、決定的な証拠は見つからないかもしれない。しかし、詐欺の被害者はレビューサイトやネット掲示板で、その体験をシェアしているものだ。また、明らかな偽のレビューにも注意したい。スペルミスが含まれていたり、否定的なレビューに反論したりするものが多い。そして、いずれもその企業や商品が最高だと主張している。
おわりに
ソーシャルメディアの運営企業は、そのプラットフォームを適切に管理し、できるだけ安全に保とうとしている。しかし、個人情報や金銭を狙う詐欺師を完全に排除するのは依然として困難な状況だ。幸い、適切な注意と警戒をして利用すれば、多くの詐欺を見分けることは可能だ。
繰り返しになるが、最良のアドバイスは、ソーシャルメディアを盲目的に信じるのではなく、常に疑いの眼を持って利用するということだ。知らない相手からのEメールには特に注意し、不自然なものは注意深く検証しよう。信じられないくらい良い商品や出来事は、多くの場合、詐欺である可能性が高いものだ。