Instagramのアカウントが乗っ取られた経験はあるだろうか?ハッキングされたとしてもパニックに陥らないよう、その復旧とセキュリティを強化する方法について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
最近、友人がひどく落ち込んだ様子で電話をかけてきた。仮にエリーと呼ぶことにしよう。エリーのInstagramアカウントがハッキングの被害に遭い、使用不能になったと言う。ハッカーによってパスワードが変更され、二要素認証(2FA)まで設定されてしまい、パニックに陥っていたのだ。
エリーにアカウントを取り戻す方法はないかと尋ねられた。同様の状況に陥った場合の良い結果も悪い結果もネット上で聞いたことはあったが、私自身が実体験したことはなかった。正直なところ、Instagramの回復手順を検証する機会に、少し興奮していた。
エリーはコンピューターに精通しておりテクノロジーへの理解はあったが、仕事と幼い子供たちの世話で非常に忙しくしていた。そのため、ソーシャルメディアやメールアカウントのセキュリティ対策を単に「先延ばし」していた。いずれにせよ、電話口で「だから言ったでしょ!」と諭すのは控えることにして、何があったのかを聞いてみた。
Instagramアカウントが乗っ取られた理由
エリーが犯した最初のミスは、アカウントに比較的単純なパスワードを設定しており、ほかのアカウントで使い回していた点だ。そのため、パスワードが漏えいしたか、ブルートフォース攻撃によって不正な侵入を許してしまったのである。
2つ目のミスは、アカウントに二要素認証(2FA)を設定していなかった点だ。二要素認証は、あらゆるソーシャルメディアやメールアカウントにおいて、無料で簡単に設定できる。有効化されていれば、パスワードを破られたり、「パスワードを忘れた場合」のリンクを悪用されたりした場合でも、攻撃者を容易に追い返せただろう。
エリーのアカウントへ不正侵入した攻撃者は、エリーを締め出す設定を施した。パスワードを変更し、ナイジェリアの電話番号や異なるメールアドレスを二要素認証として適用したのだ。また、攻撃者は認証アプリを使用した。そして、後にその理由がわかるのだが、Instagramユーザー名の末尾に数字を追加していた。おそらく、復旧を試みるエリーが自分のスマートフォン(以下、スマホ)からアカウントを回復できなくするために実行していたのだろう。
エリーをアカウントから締め出した後、ハッカーはInstagramでつながっているエリーの友人へメッセージを送るという次の攻撃へ移った。おそらく、友人のアカウントを標的に二要素認証のコードを聞き出して、ハッキングを拡大させようという狙いだろう。幸い、コードを伝えてしまった人はいなかったが、数人はそのメッセージを信じてしまっていた。
=======================
スマホが壊れてしまって、新しい端末からログインしようとしている。コードを取得するのを誰かに助けてもらわないといけないらしい。
=======================
=======================
助けてほしい。
もちろん!どうしたの?
新しいスマホからInstagramに登録しようとしているのだけれど、登録ができない。リンクを受け取るために2人の友達に見せなければいけないらしい。
リンクを送るので、スクリーンショットを送信してほしい。
ハッキングされたわけではないと思うけれど、私たちどこで会ったか言ってみてくれる?
=======================
アカウント回復までの長い道のり
エリーはアカウントを回復させようとしたとき、行き詰まりを感じたそうだ。Instagramのヘルプページに書かれた手順通りにやってみても、お手上げ状態だった。メールアドレスへログインリンクを送るようInstagramへ依頼しても、メール自体にアクセスはできたのだが、どれだけ待っても正式なメールは送られてこなかった。
(Instagramアカウントの復旧には、アカウントと連携させたメールへのアクセスが必要だ。何らかの理由でメールが使えない場合、Instagramアカウントの復旧は不可能となる。)
私は以前、使い回されたパスコードを用いて、Instagramと連携したメールにハッカーが不正に侵入するケースを耳にしたことがあった。ハッキングされたメールアカウントにInstagramから送られてくる回復のためのメッセージを隠したり、ブロックしたりしてしまうのだ。
驚いたのは、目の前で同じ手口が実際に行われていた点だ。エリーのYahoo!アカウントで「受信拒否」リストを開くと、末尾に「mail.instagram.com」とある3つのアドレスがブロックされていた。
ブロックを解除した後、エリーは回復プロセスを再開し、Instagramからログインリンクを受信した。リンクを開くと、本人確認のために自撮り動画を送るよう求められた。エリーはアカウントに自分の写真を投稿していたため、これが唯一の選択肢だったのだ。
20分とかからずに、エリーはアカウントへのアクセスを回復したというメールを受信し、ワンタイム回復コードとして数桁の数字が付与された。筆者と彼女は、勝利はもうすぐだと思っていた。
しかし、それも束の間だった。
エリーは正式なリンクをクリックし、バックアップコードを入力してアカウントを回復したものの、奇妙なことにログイン画面へすぐに飛ばされてしまうのだ。5回以上同じプロセスを試したが、どれも上手くいかずイライラしていた。使用できるバックアップコードは6個だけであったため、エリーは再びパニックに陥った。コードを再度受け取るには、自撮り動画による本人確認のプロセスをもう一度実施しなければならない。そこで自撮り動画を撮影したところ、初めはうまくいかなかったが、次でようやく本人確認に合格し、6個のコードを再取得できた。
興味深いことに、エリーのメールアドレスにはInstagramから送信されたと称するメールが届くようになった。本文には文法の誤りがあり、セキュリティコードを要求するという怪しいものであったため、幸いエリーはスルーした。おそらく、攻撃者はエリーをアカウントから締め出すために、ワンタイムパスコード(OTP)を聞き出したかったのだろう。
=======================
アカウントへのログインに問題があったか、アカウントがハッキングされたことを検知しました。アカウントを回復するよう、全力で支援します。あなたの電話番号にセキュリティコードを送りました。本人確認のため、受信したセキュリティコードを、このメッセージに返信してください。アカウントへのログインが回復できるでしょう。
早急の返信をお待ちしています。
=======================
=======================
適切に確認するため、テキストメッセージで送ったコードを返信してください。
=======================
=======================
Instaヘルプ
=======================
筆者は位置情報やネットワークロケーション、あるいは端末に認証問題が起きているのではないかと考えた。それらがエリーによるアカウントへのログインをブロックしている可能性があると推察したのだ。そこで、エリーに回復メールを転送するよう依頼し、5マイル(8キロメートル相当)離れた場所から私のノートパソコンでログインを試みた。
エリーの疑念をよそに、筆者のノートパソコンで回復プロセスを試してみると即座にログインでき、そのまま使い続けることができた。「やっと成功した!」とエリーは大喜びだったが、なぜうまくいったのかを解明する前にアカウントを完全に保護することにした。
まず、ハッカーによって新しく適用された二要素認証(2FA)のアプリと、変更されたナイジェリアの電話番号を無効化した。エリーの電話番号に戻した上で、二要素認証を有効化した。さらにパスワードを変更し、エリーがアカウントの所有者であることを示すよう、テキストメッセージを介してエリーのスマホに二要素認証のコードを送信した。
攻撃者はエリーのユーザー名も変えていた。これはおそらく、ログアウト後に再度スマホからInstagramへログインしようとすると、メールアドレスではなく前のユーザー名とログイン画面が紐づく仕様だからだろう。アプリが元のユーザー名と紐づいていなければ、再ログインが極めて困難となる。そこで、エリーのアカウントを回復させるには元のユーザー名に戻す必要があった。
エリーのアカウントを使っている最中、「ログイン履歴」を開くと現在地が「自分自身」であるか確認された。「はい」と回答すると、位置情報が保存された。
エリーがアカウントからすぐに弾かれた理由として、2つの可能性が考えられる。1つ目は、ハッカーが最近のログイン履歴を閲覧し、位置情報をブロックした方法だ。エリーの自宅Wi-Fiがハッカーの場所であるとInstagramに思い込ませるためだ。
あるいは、ハッカーがアカウントを使用している最中に、エリーがバックアップコードを使おうとしていて、その度に通知が送られたため、エリーが操作する前に二要素認証を介してパスワードをもう一度変更しようと試みていたのかもしれない。いずれにせよ、ノートパソコンから異なるIPアドレスを用いてアプリを速やかに操作することで回避できた。
アカウントを取り戻した後のエリーは、ハッカーにやられたメッセージへの返信を多数対応しなければならなかった。
=======================
電話してほしい。
大丈夫か。
やぁ、どうしたの。
何か助けがいるか?
=======================
興味深いことに、「エリーのアカウントはハッキングされているのだろう」と答えた人や、自身のInstagramストーリーで「エリーのアカウントはハッカーに乗っ取られている」などと言及していた人はすべてハッカーにブロックされていたのだ。
実際のところ、すべての作業に3日間しか掛からなかったが、エリーにとってはもっと長い時間に感じたことだろう。ほとんど諦めていたところからアカウントを回復したエリーは、痛い目に遭いながらもアカウント保護について学ぶことができた、と言っていた。「事前に、こうした簡単なセキュリティ対策をやっておけばよかった」というエリーの言葉を記しておきたい。
最後に、Instagramアカウントが乗っ取られた際の回復方法と、保護する方法をまとめた。
不正侵入されたInstagramアカウントの回復プロセス
- メールアカウントを開き、受信拒否リストにInstagramのメールアドレスが含まれていないかを確認する
- Instagramのパスワード変更ページを開き、ログインリンクを取得する
- 画面表示に従ってヘルプページを開き、本人確認のためのサポートリクエストを送信する。自撮り動画を撮るよう促されるが、自分の写真がアカウントに投稿されている場合にのみ有効なステップだ。回復リンクは元のメールアドレスに送られる
- 上手くいかない場合でも、本人確認ができるまで繰り返す
- 本人確認に成功すると、Instagramから送られたリンクをクリックするために必要な8桁のコードを受信できる
- アカウントで以前に使用されていない IP アドレスを使用して、コンピューターからアカウントへログインする
- ログインできたら、すぐに不正な二要素認証の設定を解除する
- 複雑で推測されにくく、自身とは関係のない文字列を使ったパスワードに変更する
- 電話番号を元に戻す
- 二要素認証を再度有効化する
- テキストメッセージを介した二要素認証ではなく、認証アプリを使った二要素認証の導入を検討する
- スマホから再度ログインする前に、コンピューターを介してユーザー名を元に戻す
- 最後に、Instagramのブロックリストを確認する。ハッカーが親しい友人をブロックしている可能性があるからだ
Instagramアカウントを保護するためのセキュリティ対策
- 複雑で推測されにくいパスワードを適用し、ほかのアカウントで使い回さない
- Instagramアカウントとメールアカウントの双方で二要素認証を有効化する
- Instagramを装ったフィッシングメールに注意する
- 「こんにちは、助けてほしい」といった文言で始まるInstagramメッセージには注意し、危険に晒される可能性があることを伝えるために、連絡先に電話する
- アカウントへ自分の顔写真を少なくとも1つは投稿しておき、自撮り動画による本人確認が機能するようにしておく