インスタのアカウントが乗っ取られたらどうなるか
- ランサムウェアによる身代金の要求
- クレジットカードなどの金融情報を抜き取られる
- 他のSNSアカウントへログインされる
- あなたのアカウントでフォロワーにスパムやフィッシングメッセージを送信される
乗っ取られた時点でアカウントのパスワードや、登録した個人情報を変更されている場合があります。
乗っ取られたらどうなるか1
ランサムウェアによる身代金の要求
ランサムウェアとは、身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語で、マルウェア(悪意のあるソフトウェア)の一種です。
攻撃者(乗っ取りを実行した者)は、インスタのパスワードや登録情報(電話番号、生年月日など)を変更し所有者がログインできない状態にします。
その後アクセス権を人質に、所有者に対して身代金を要求する行為として現れます。
現状把握していることをお伝えします。
— A Tale of Thousand Stars JapanFC (@1000stars_JFC) January 12, 2021
1. MixのTwitter、Instagramのアカウントが乗っ取られました。(IDはTW:@.zemherius/IG:zemheriusxxに変更されています。フォロー解除などの対応は各自にお任せします。)
2. 犯人は15歳男性との話もありますが、いずれにせよ「身代金」を要求しているようです。
身代金要求の流れ
攻撃者はフィッシング、パスワードの解析、ソーシャルエンジニアリング(なりすまし等)などの手法を用いてインスタグラムのアカウントを乗っ取ります。
アカウントのパスワードや登録情報が変更され、本来のアカウント所有者やインスタグラムのサポートチームがアクセスできないようにします。
アカウントを取り戻したい本来の所有者に対して、アカウントの解放と引き換えに金銭を要求します。
この要求は、直接メッセージを送ってくる、あるいは第三者を介した通信などで行われることがあります。
【Instagram乗っ取った犯人と戦ってます】
— 神崎りのあ💗🐰🌸【Rinoa】AI ×リアル『2.5次元AIコスプレイヤー』 (@Rinoa_Kanzaki) July 2, 2020
11万人いたInstagramのアカウントが乗っ取られ閉鎖されました
乗っ取りに合う前に下記アカウントからDMが来て
私はインスタの垢だと思いアクセスしてしまいました
そして新アカにも連絡があり
Gmail、Twitterのパスワードを教えろお金を払えと言われました pic.twitter.com/250JB0QQsZ
身代金要求型攻撃の特徴
このタイプの攻撃者は、アカウントの価値(フォロワー数や影響力)に基づいてターゲットを選びます。
特にインフルエンサーは狙われやすく、個人情報の公開や不適切な内容の投稿をほのめかすことで、被害者にプレッシャーをかけます。
身代金は、匿名性の高い暗号資産(ビットコインなど)で要求されます。
厄介なケースだと、アカウントを返還する意図がないにも関わらず、金銭を要求することパターンです。
🚨乗っ取りの犯人がInstagramのストーリーで「身代金」として2000ドルをビットコインで支払うよう求めています。
— A Tale of Thousand Stars JapanFC (@1000stars_JFC) January 12, 2021
GMMも動いておりますので、早まって支払うことのないようお願いいたします。
乗っ取られたらどうなるか2
クレジットカードなどの金融情報を抜き取られる
インスタのアカウントが乗っ取られると、それ自体は直接的にクレジットカード情報の盗難にはつながりません。
問題は、IDやパスワードの使い回しが原因で、他のオンラインサービス(例えば、Amazonや楽天市場)にログインされる足がかりになることです。
【注意喚起!!】
— 瑞慶覧 尚/ズケランタカシ (@zukerantakashi) June 14, 2021
ここ2ヶ月ほどで経験した詐欺とスマホ乗っ取り、Instagramからの友達申請です。
⬇︎⬇︎⬇︎
■カード不正利用(30万ほど使われたけど対処早くて助かりました)
■友達申請きたのに申請したらカオスw
■スマホカレンダーいじられ放題w
最近周りで被害多いです、気をつけましょう! pic.twitter.com/E06QT6AkIu
クレジットカード情報を抜き取られるまでの流れ
フィッシング攻撃、ソーシャルエンジニアリング、パスワードの総当たり攻撃などの手法を用いて、ユーザーのインスタグラムのアカウントの認証情報(IDとパスワード)を入手。
入手した認証情報が他のオンラインサービスでも使用されているかを試みます。
多くのユーザーが同じIDとパスワードを使い回しているため、簡単にログインに成功します。
Google Chromeのパスワード管理にアクセスされたら全てのパスワードが漏洩します。
オンラインショッピングサイトには、ユーザーのクレジットカード情報や配送先住所などの貴重な情報が保存されています。
攻撃者はこれらの情報にアクセスし、クレジットカード情報を含む個人情報を盗み出します。
盗まれたクレジットカード情報は、不正な購入、他の詐欺行為、または犯罪グループへ販売など、さまざまな目的で使用される可能性があります。
乗っ取られたらどうなるか3
他のSNSアカウントへログインされる
他のSNSアカウントへ不正にログインする目的は、以下のような目的があります。
これらの目的は、より広範囲にわたる影響を及ぼし被害も拡大します。
情報の搾取
乗っ取ったSNSアカウントから個人情報や貴重なデータを盗み出します。
連絡先、個人的なメッセージ、写真、そして場合によっては保存されているクレジットカード情報、銀行口座のログイン ID・パスワードなどが含まれます。
これらの情報は金銭的利益のため、または他の詐欺行為に利用されます。
乗っ取られたらどうなるか4
フォロワーにスパムやフィッシングメッセージを送信する
アカウントを乗っ取ってフォロワーにスパムやフィッシングメッセージを送信する主な目的は、信頼されている人物やになりすますことで、フォロワーを騙してさらに多くのアカウントを乗っ取ることです。
この手法はソーシャルエンジニアリングの一種であり、人間の信頼関係や好奇心を悪用します。
フォロワーを騙してアカウントを乗っ取る流れ
メッセージにはマルウェアへのリンクが含まれていることがあり、被害者のデバイスを感染させ、コントロール下に置く。
信頼できるように見せかけたメッセージを送信し、フォロワーを偽のログインページに誘導して認証情報を盗みます。
フォロワーはメッセージが信頼できるソースから来ていると誤認し、警戒心なく情報を提供してしまう可能性があります。
異なるSNSを通じて同一の被害者に対して複数の角度からフィッシング攻撃を仕掛けることで、攻撃の成功率を高めます。
乗っ取ったアカウントの信用を利用して、今度はフォロワーの友人を騙します。
一つのプラットフォームで信頼を築いたアカウントがあれば、他のプラットフォームでもその信用を利用することが可能です。
他のSNSアカウントへログインする目的とフォロワーにスパムやフィッシングメッセージを送信する目的は、結局のところ個人情報の窃盗、金銭的利益の追求、マルウェアの拡散、信頼の悪用に集約されます。
【注意喚起】現在
— 以下略ちゃん™ (@ikaryakuchan) December 25, 2021
l. instagram. com~ というスパムDMが回っています。
これはリンク内のアプリ認証をしてしまうと、
フォロワーに無差別にDMが送られる、いわゆる乗っ取りタイプのスパムです。
DMが届いても、アプリ認証しないようにご注意ください。
また、DMの人は被害者ですので通報しないでね pic.twitter.com/NuOQJxd1jP
アカウントが乗っ取られたらやること
Instagramアカウントにログインできる場合
アカウントが不正アクセスされたまたはアカウントに誰かが不正アクセスを試みたと思われるものの、ログインができる場合は、以下の操作を行ってアカウントを安全に保つようにしてください。
- パスワードを変更するか、自分宛てにパスワードの再設定メールを送信する
- 二段階認証をオンにしてセキュリティを強化する。
- アカウント設定で電話番号とメールアドレスが正しいことを確認する。
- アカウントセンターを確認して、リンク済みのアカウントで心当たりのないものを削除する。
- 不審なサードパーティアプリのアクセスを無効にする。
- フォロワーにアカウントが乗っ取られたことと、不審なメッセージやリンクに注意するよう警告する。
アカウントが不正アクセスされたり乗っ取られたりした場合、アカウントの安全を確保するためにデスクトップかモバイルのブラウザで「Instagramのサポートをリクエスト」にアクセスしてください。
アカウントの種類によっては一部の復旧手順が実施できない場合もありますが、以下の復旧手順も全て試してください。
登録したメールアドレスにInstagramからメッセージが届いているか確認
security@mail.instagram.comからメールアドレスの変更を知らせるメールを受け取った場合は、メールに記載されている[アカウントの安全を確保]を選択して元に戻すことができます。
パスワードなどその他の情報も変更されていて、メールアドレスを元に戻せない場合は、ログインリンクまたはセキュリティコードをInstagramにリクエストしてください。
以下のその方法を紹介します。
Instagramにログインリンクをリクエストする
アカウントの所有者であることをInstagramが確認できるように、自分のメールアドレスや電話番号にログインリンクを送信するようリクエストできます。
ログインリンクをリクエストする方法
ログイン画面で、[ログインのヘルプ]をタップします。
アカウントに登録しているユーザーネーム、メールアドレス、または電話番号を入力し、[ログインリンクを送信]をクリックします。
アカウントに登録しているユーザーネーム、メールアドレス、電話番号を利用できない場合は、「Instagramのサポートをリクエスト」にアクセスして、画面の説明に従ってください。
人間による操作であることを証明するために、CAPTCHA認証を完了し、[次へ]をクリックします。
メールまたはテキストメッセージ(SMS)に記載されているログインリンクをクリックし、画面の指示に従います。
Instagramにセキュリティコードまたはサポートをリクエストする
Instagramから送信されたログインリンクを使用してアカウントを元に戻すことができない場合は、モバイルデバイスでInstagramにサポートをリクエストしてください。
Instagramにサポートをリクエストするには、自分だけが利用できる安全なメールアドレスを入力してください。
リクエストを送信すると、Instagramから次の手順を知らせるメールが届きます。
ユーザーネームがわからない場合は、「Instagramのユーザーネームを忘れた場合の対応方法」を参考にしてください。
本人確認
自分の写真を登録していないアカウントについてのサポートリクエストを送信すると、Metaのサポートチームから自動返信メールが届きます。
本人確認を行うためには、登録に使用したメールアドレスまたは電話番号と、登録時に使用したデバイスの種類(iPhone、Android、iPadなど)を返信する必要があります。
自分の写真を登録しているアカウントについてのサポートをリクエストすると、自分をさまざまな角度から撮影したセルフィー動画の送信を求められます。
動画は実在する人物であることを確認したり本人確認を行うために使用されます。
セルフィー動画を送信すると、指定した安全なメールアドレスに、Instagramからのメールが届きます。
この動画を使用して、実在する人物であることと本人であることを確認します。
送信した動画はInstagram上に一切表示されず、30日以内に削除されます。
送信した動画で本人確認ができないと判断された場合、新しい動画を送信して再審査を依頼してください。
アカウントが停止されたら元に戻せない
- Instagramのコミュニティガイドラインに違反した
- 本人、あるいは第三者がアカウントを削除した
Instagramアカウントが停止された場合、ログインしようとするとメッセージが表示されます。
Instagramのコミュニティガイドラインに違反した場合は、アカウントが停止される可能性があります。
アカウントが誤って停止されたと考えられる場合は、アプリを開いてユーザーネームとパスワードを入力し、画面の説明に従って審査を求めることができます。
アカウント停止のメッセージが表示されない場合は、ログインに関する問題が起きている可能性があります。
本人または第三者がパスワードを使ってアカウントを削除した場合は、アカウントを元に戻すことはできません。
以前使用したものと同じメールアドレスを使用して新しいアカウントを作成することはできますが、同じユーザーネームを取得できない場合があります。
アカウントが乗っ取られない5つの対策
- 二段階認証を有効にする
- DMに送られてきたURLを開かない
- 複雑で予測しにくいパスワードを設定する
- フリーWi-Fiに接続する場合はVPNを併用する
- 他人にスマホを持たせない、見られないようにする
対策1
二段階認証を有効にする
二段階認証は、インスタにログインするときに ID とパスワードの入力以外に、テキストメッセージ(SMS)コードの追加認証を行い、本人だけがログインできる状態にします。
テキストメッセージ(SMS)による二段階認証を有効にすると、Instagramが認識していないデバイスからインスタのアカウントにログインを試みるたびに、6桁のセキュリティコードが記載されたテキストメッセージ(SMS)が届くようになります。
6桁のセキュリティコードを正しく入力しない限りログインできないので安全です。
二段階認証を有効にする方法
- 左下にある
[その他]をクリックしてから、[設定]をクリック。 - [アカウントセンター]をクリックしてから、[パスワードとセキュリティ]をクリック。
- [二段階認証]をクリックし、二段階認証にSMSを使用するアカウントをクリック。
- [テキストメッセージ(SMS)]の横をクリック。
- アカウントに電話番号が登録されていない場合は、入力を求められます。電話番号を入力したら、[次へ]をクリックします。
- [完了]をクリック。
[その他]をクリックしてから、[設定]
をクリック。対策2
DMに送られてきたURLを開かない
インスタに限らず、SNSでダイレクトメッセージ(DM)に送られてくるURLには注意が必要です。
特に知らない人や信頼できない送信者からのリンクは、非常に危険が伴います。
この理由は主に以下の通りです。
フィッシング詐欺のリスク
フィッシング攻撃は、実在する企業やサービスを装い、ユーザーから個人情報やログイン情報を騙し取る詐欺行為です。
DMをで送られてくる怪しいURLは、見た目が本物のウェブサイトに酷似していることが多く、ユーザーがそのリンクを信じてアクセスし、情報を入力してしまうことがあります。
マルウェア感染のリスク
不正なリンクをクリックすることで、スマートフォンやパソコンにマルウェアやスパイウェアがダウンロードされる場合があります。
これにより、個人情報が盗み出されたり、デバイスが遠隔操作されたりするリスクがあります。
DMに送られてくるURLを安易に開かないことが重要です
対策3
複雑で予測しにくいパスワードを設定する
強力なパスワードは、アルファベット(大文字と小文字)、数字、記号を組み合わせたもので、長さも十分にあることが望ましいです。
複雑で予測しにくいパスワードを使用することで、ブルートフォース攻撃(無数の組み合わせを試す攻撃)や辞書攻撃(一般的な単語やフレーズを試す攻撃)に対する抵抗力が高まります。
また、パスワードの使い回しを避けることで、一つのサービスでパスワードが漏洩した場合でも他のアカウントが危険にさらされることを防ぎます。
対策4
フリーWi-Fiに接続する場合はVPNを併用する
カフェや空港などのフリーWi-Fiは便利ですが、セキュリティが弱いため、攻撃者がネットワークトラフィックを傍受しやすくなります。
VPN(仮想プライベートネットワーク)を使用することで、インターネットトラフィックが暗号化され、プライベートな通信トンネルを通じて送信されるため、データの傍受を防ぐことができます。
VPNに接続することで、パスワードや個人情報が漏えいするリスクを大幅に減少させることができます。
スターバックスでも、店内でWi-Fiを使用する際はVPNの使用を推奨しています。
◆ セキュリティに関して
「at_STARBUCKS_Wi2」の無線LANは暗号化しておりませんので、秘匿性の高い情報を送受信する場合には、セキュリティを確保するSSLやインターネットVPNなどを用いて通信内容を保護することをお勧めします。
スターバックス
当サイト一押しのVPNはMillenVPN(ミレンVPN)です。
お申し込みはここから
\フリーWiFiを使った時に情報を抜き取られない/
対策5
他人にスマホやPC画面を見られないようにする
スマートフォンには、メール、ソーシャルメディア、銀行アプリなど、多くの個人情報が含まれています。
他人にスマートフォンを持たせたり見られることは、これらの情報が悪意のある目的で利用されるリスクがあります。
また、画面ロックのパターンやPINを他人に知られることも避けるべきです。
スマートフォンやPCを安全に保つためには、画面ロックを有効にし、指紋認証や顔認証などの生体認証機能を利用することのがおすすめです。
Windows・Androidをロックする方法
MacBook・iPhoneをロックする方法
インスタの乗っ取りに関するよくる質問と回答
- 乗っ取りの兆候はどんなものがありますか?
-
アカウントのパスワードが変更されたとき、インスタグラムからはその変更を知らせるメールが送信されます。
もし自分でこれらの情報を変更していないにも関わらず、変更通知を受け取った場合は、乗っ取りの可能性が高いです。
インスタからの確認メールが迷惑メールに振り分けられた場合、パスワード変更自体に気が付かない場合が多いです。
- インスタはバックアップコードが使えますか?
-
はい、使えます。
バックアップコードとは
バックアップコードは、二段階認証を有効にした際に提供される予備コードです。
ユーザーが二段階認証を利用できない状況でアカウントにアクセスするために使用されます。
例えば、スマートフォンを紛失したり、SMSが受信できない場所にいる場合など、二段階認証を使用できない時に、バックアップコードを使ってログインできます。
アカウントのバックアップコードのリストを取得する方法
- 左下にある[その他]をクリックしてから、[設定]をクリック。
- 左側のメニューで[プライバシーとセキュリティ]をクリック。
- 下へスクロールして[二段階認証]を表示し、[二段階認証の設定を編集]をクリック。
- [バックアップコードを取得]をクリック。
現在のバックアップコードをキャンセルして、新しいコードを取得する方法
- 左下にある[その他]をクリックしてから、[設定]をクリック。
- 左側のメニューで[プライバシーとセキュリティ]をクリック。
- 下へスクロールして[二段階認証]を表示し、[二段階認証の設定を編集]をクリック。
- [バックアップコードを取得]をクリックし、[新しいコードを取得]をクリック。
- 左下にある