SNSを一度ハッキングされたら、「パスワード変更」だけで対処を終えてはいけない：半径300メートルのIT（1/2 ページ）

InstagramやTwitterなど、SNSを狙うハッキングの被害が後を絶ちません。膨大なフォロワーを持つセレブは格好のターゲットですが、「他人事」と思うのは間違いです。その中に、実はアカウント管理の重要な教訓が隠れているのですから。

[宮田健，ITmedia]

　先日、知人からあるセレブのInstagramアカウントが「ハッキングされてる！」と報告を受けました。早速見に行ってみると、「iPhone XSを2000台無料で配布します！」という文言の踊る画像が。アカウント主はあのアイアンマンを演じた、俳優のロバート・ダウニー Jr.でした。ああ、これはやられてしまいましたなあ……。

ロバート・ダウニーJr.のInstagramがハッキングされていた瞬間（現在、投稿は削除済み）

　ハリウッド俳優ということもあり、ロバート・ダウニーJr.のInstagramアカウントには4325万人のフォロワーがいます。ハッキングに遭っていたのはわずか1時間程度ではあったものの、その間にも相当のユーザーが彼のInstagramを訪れていたでしょう。

　私はその後、アカウントがメンテナンスされる様子もリアルタイムで見ていました。しかし、パスワードを変更していなかったのか、削除後にまた同じいたずら画像を投稿されたり、ストーリーズやプロフィールをいじられたりする様子を目の当たりにしてしまい、「著名人の狙われ方というのはなかなか厳しい」という印象を持ちました。

パスワードを変更するだけで、対処を終わらせてはいけない

　Instagramだけでなく、日本では根強い人気を誇るSNS、Twitterにおいても、こうした有名人のアカウントがハッキングされる事例は後を絶ちません。つい先日、Twitterのジャック・ドーシーCEOの公式アカウントがハッキング被害に遭ったのも、記憶に新しいところです。

　ただしTwitterの場合、ハッキングの疑いが生じた時点で、「パスワードを変えるだけでなく、連携アプリも確認する」という動きが浸透してきているようです。確かに、これらの作業は同時に行わなければなりません。連携アプリにある程度の権限があると、パスワードを変更したとしても投稿を許してしまったり、ダイレクトメッセージののぞき見ができてしまうためです。

　このコラムでも定期的に「SNSに設定された連携アプリの見直しを行いましょう」という記事を書いています。最初は「1年1度の大掃除感覚で」と話していましたが、現在は、1か月に1回――いや、気が付いたらぜひその場でやってほしいと思っています。

二段階認証の設定後にハッキングされた場合は、さらに危険

アカウントにログインした状態では、設定から登録電話番号の下4桁が分かる

　連携アプリの見直し以外にも、ハッキングへの重要な対応ポイントがあります。こういった事件が起きるたびに、「セレブこそ二段階認証を設定すべき」と思うのですが、二段階認証を設定したアカウントがハッキングの被害に遭った場合は、ここまでお伝えしたこと以上の対応が必要なのです。

　例えば、Instagramのパスワードと二段階認証を攻撃者に突破されてしまった場合、二段階認証で「SMS送信先」に設定した電話番号の下4桁、アカウントリカバリーのためのリカバリーコードを見られてしまいます。

　リカバリーコードさえあれば、パスワードや二段階認証なしにアカウントへアクセス可能になってしまいます。そのため、この情報をサイバー犯罪者に見られたとすると非常に危険なのです。

二段階認証をオンにしたアカウントをハッキングされた場合、有効な「リカバリーコード」を取得できてしまう。迅速にパスワードを変え、同時に現行のリカバリーコードをいったん無効化し、新規取得すべきだ

　万が一、二段階認証を設定したアカウントをハッキングで奪われたという方は、いったん二段階認証をリセットし、リカバリーコードを更新する必要があるでしょう。

　この点以外にも、アカウントをハッキングされた場合にぜひ気を付けてほしい点があります。というのも、一度認証情報を知られてしまったら、被害は「その場でまだ見えていない範囲」に及ぶ可能性があるからです。