話題のインスタ乗っ取り事件 被害者が口をそろえて言う「引っ掛かった手口」とは？：半径300メートルのIT

タレントの「Instagram」が乗っ取られた事件がセンセーショナルに報道されています。有名人に限らず被害に遭った方が多く存在するこの事件、攻撃者は一体どのような手口を駆使しているのでしょうか。攻撃手法を踏まえた対策を考えます。

[宮田健，ITmedia]

　タレントの「Instagram」が乗っ取られ、性的な写真を要求するメッセージが不正に送られた件で、容疑者が不正アクセス禁止法違反の疑いで逮捕されたという報道がありました。話題になったタレントだけでなく、複数の有名人のアカウントに不正アクセスを実行していた形跡もあった模様です。

　有名人に限った話ではなく、SNSが不正に乗っ取られるという事案が多数報告されています。今回は皆さんも使っているであろう、身近な「アカウント」を見直すきっかけとなるような話題をピックアップしたいと思います。

インスタを乗っ取られる人の共通点とは？

　SNSアカウントは生活に密着したものであり、あなたそのものを表すと考えてもいいものかもしれません。何気ないつぶやきや目の前の風景を投稿できるという認識かもしれませんが、それはまごうことなき“発信”行為です。それも、世界に向けて。そのため、もしそこで不正アクセスが発生し、身に覚えのないコンプライアンス的に問題のある投稿がされてしまったとしたら、その影響は計り知れません。個人のアカウントだけでなく、組織やブランドの投稿を任されている従業員にも同じことが言えるでしょう。ではこれにどう対処すればいいのでしょうか。

　情報処理推進機構（IPA）は2025年8月、情報セキュリティ安心相談窓口からの注意喚起として「インターネットサービスへの不正ログインによる被害が増加中」という記事を公開しました。不正ログインに関してIPAに寄せられた相談件数は高止まりしており、2025年7月はこれまでで最も多い144件の相談が寄せられました。内容としてはSNSに不正ログインされ、自分ではログインできなくなったというものが多いとのことです。

　この中で話題になっていたのは、その攻撃手法です。注意喚起では特にInstagramの不正ログイン事例として、Instagramの知り合いになりすました攻撃者が、投票依頼などの「ダイレクトメッセージ」（DM）を送り、言葉巧みにログインに必要な情報を得る手法が紹介されていました。「実際にこれと同じ手法でやられた」とSNSで投稿していた方も多く、サイバー攻撃が身近に迫っていることがよく分かる事案です。

　DMでのやりとり内で電話番号を教えてしまうと、攻撃者はその番号を使ってログインを試行します。すると、SMSで認証コードが送られるタイミングで、攻撃者は届いたコードを聞き出そうと、メッセージを送ってきます。これを教えてしまうと不正ログインが成立し、アカウントが乗っ取られてしまうわけです。もちろん、あなたの友達にも同じ行為をすれば次から次へと被害が連鎖するでしょう。

Instagramの不正ログイン手法（IPAの「インターネットサービスへの不正ログインによる被害が増加中」より引用）《クリックで拡大》

　IPAはこの対策として以下の4点を挙げています。

1. パスワードは長く複雑にして使い回さない
2. 多要素認証を設定する
3. フィッシングやマルウェアに注意する
4. パスキーの利用を検討する

　これらはどれも大変重要、かつアカウント保護のための基本的な対策であり、特に多要素認証の設定はもはや必須です。そして重要なのは、その多要素認証の扱い方にあります。

　重要なポイントは「SMSなどで送られてくるコード、認証アプリで表示されるコードは、絶対に他人に教えない」ことです。ここでいう他人とは、メッセージで聞いてくるような“知人”らしき人だけではなく、画面上本物そっくりに作られたフィッシングサイトも含みます。実はこのようなワンタイムパスワードと呼ばれるコードは「正しいWebサイトに入力する」ことが、運用の鍵となっているのです。セキュリティに詳しい人ならばともかく、一般のユーザーがこの点を意識することは難しいのかもしれません。

　問題は、意識したところで「本物のWebサイトなのかどうかがもはや判別できない」ことにあります。SMSや電子メールで届くコードは本物でも、入力しようとしているWebサイトが本物かどうかは分かりません。「フィッシングサイトかどうかを目視で判断することはやめましょう」とこのコラムでも度々述べていますが、この運用ですとどうしても「見抜く」必要が出てきてしまうのです。

　最近のパスワード管理ソフトなら、このワンタイムパスワードを生成する機能も含まれています。これであればパスワード同様、ドメインまで見て自動入力されるので、やはりここでもパスワード管理ソフトが活躍すると思っています。最近はOS標準の機能でも十分活用可能。ぜひ、こちらの機能をまずは触れてみることをお勧めしたいと思います。

パスワードが弱く、かつ多要素認証を設定していなければ……

　実際、多要素認証さえ設定されていれば、パスワードが漏れたところで簡単には不正ログインは成立しません。多要素認証はそのための仕組みなのですが、攻撃側もそれを前提とした手法に切り替えつつあります。加えて、いまだに多要素認証に対応していないWebサイトも多く、やはりパスワードそのものを「長く、複雑にして、使い回さない」というIPAが推奨する基本的な対策には従う必要があると思います。

　問題は、冒頭に紹介したNHKの記事でも触れている部分です。引用しますと、ちょっと絶望的な原因があった模様です。

容疑者は、他にも別の俳優など男女4人のアカウントを乗っ取ったとして、すでに逮捕・起訴されていて、いずれも氏名や生年月日からパスワードを推測し、アカウントにアクセスしていたとみられています。

（NHK報道から引用）

　有名人となれば、誕生日も本名もほぼ公知の情報でしょう。もしかしたらちょっとしたいたずら感覚で、それらを組み合わせてログインしてみたら成功してしまったことがきっかけなのかもしれません。氏名や生年月日を基にしたパスワードは最弱の部類に入ります。多要素認証を設定していなければ一瞬でログインでき、達成感すらあったかしれません。これは本当に良くない状況です。

　これは、有名人に限った話ではありません。友達や上司、そして家族にもその興味が向けられる可能性があります。万が一、これをお読みの方のパスワードにそんな甘さが残っていたとしたなら、今こそアップデートする必要があるでしょう。不正ログイン被害に遭ったほとんどの方が、パスワードが甘い上に多要素認証を設定していない人のはずですから（もちろん、先に紹介した「インフォスティーラー」という攻撃事例もありますが）。

　最近は「『Gmail』のパスワードが25億人分も漏えいした」「いや、していない」という騒動もありました。このような話は、Googleに限らずありとあらゆるアカウントで今後もセンセーショナルに語られるでしょう。漏れたかどうかの事実は利用者には判断できません。そのため、私たちは粛々と「パスワードは長く複雑にして使い回さない」「多要素認証を設定する」「フィッシングやマルウェアに注意する」「パスキーを利用する」するだけです。これなら漏えい事故も「恐るるに足らず」となるのではないでしょうか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。