今日は完全に余談です。タイトルを付けるなら、
放置していたインスタのアカウントが、勝手に“武器”にされかけた話
でしょうか。
ここ数日、私のメールアドレス宛に
「Instagramのパスワードリセットがリクエストされました」
というメールが、立て続けに 11 通も届きました。最初の1〜2通は「ん? 間違いかな?」くらいで流していたのですが、さすがに二桁を超えてくると嫌な予感しかしません。
「いやいや、自分そんな何回もパスワードリセットしてないし…。」
そこでふと思い出したのが、昔ノリで作った、ほぼ幽霊のようなインスタアカウントの存在でした。
どうやら狙われたのは、この放置していたゲーム用アカウントのほう。つまり、「自分ですら存在を忘れかけていたアカウント」に、どこかの誰かが入り込もうとしていたわけです。
「うわ、これ乗っ取られたら面倒くさいやつだ…」と察した私は、このアカウントを完全に消す方向で動くことにしました。
理由はシンプルで、
だったからです。
SNSのアカウントは「デジタル身分証」になっている
「ただの写真置き場」ではなくなっている
Instagram に限らず、XでもFacebookでも、今のSNSアカウントは
その人の「社会的な信用」を背負ったデジタルID
みたいな存在になっています。
- 誰と繋がっているか
- どんな投稿をしてきたか
- どんなコメントをしてきたか
こういった積み重ねが、知らず知らずのうちに「信用」として蓄積されています。攻撃者が本当に欲しいのは、「アカウント」そのものよりも、
そのアカウントに紐づいた“信用”と“つながり”
なんですよね。
一番怖いのは「被害者なのに、加害者にされる」こと
乗っ取りで何が一番怖いかというと、
「自分が被害者なのに、結果的に“加害者”の役割をやらされる」
ここです。例えば、あなたのインスタが乗っ取られたとします。攻撃者は、あなたになりすまして、あなたの友人やフォロワーに対してこんなDMを送りつけます。
送られてくる側からすると、
「知らない人」ではなく「知っている友だち」からのメッセージ
なので、警戒心が一気に下がります。ここで被害が出れば、フォロワーにとっての“加害者”は、表面上あなたになってしまうわけです。
訴えられた場合も、
と言ったところで、その説明を信じてもらえるかどうかは別問題。ほんと、たまったもんじゃありません。
なぜ「放置アカウント」が一番危ないのか
フォロワーが少なくても、価値はある
「自分のアカウントなんか、フォロワー少ないし狙われないでしょ?」と思っている方も多いのですが、それはかなり危険な思い込みです。
フォロワーが少なくても、クローズドな信頼関係や個人情報には価値があるので、攻撃者からすると十分「おいしいターゲット」です。
休眠アカウントは「持ち主のいない金庫」
使っていないアカウントが特に危険なのは、こんな理由があります。
- 二段階認証などの強い防御が設定されていないことが多い
- 他サービスでパスワード流出があっても、存在自体を忘れているので変更されない
- そもそもログインしないので、乗っ取られても気づかない
つまり、
「持ち主がほぼ見に来ない金庫」状態
なんです。攻撃者からすると、
- バレにくい
- 長く使える
- 遊び場・実験場にしやすい
という、非常に都合の良い拠点になってしまいます。
どうやって入られるのか? ざっくり4パターン
細かい技術用語は省きつつ、代表的な手口をざっくり整理します。
① フィッシング&ニセログインページ
- 「著作権違反の疑いがあります」
- 「アカウント停止の可能性があります。こちらから確認してください」
こんな文面のメールやDMから、本物そっくりのニセInstagramログインページに誘導され、ID・パスワードを入力させるパターンです。
これをやられると、自分の手でパスワードを渡しているのと同じなので、非常に厄介です。
② パスワード使い回し攻撃(リスト攻撃)
昔流出した他サービスのID・パスワードのリストを使って、
いろんなサービスに片っ端からログインを試す
という、わりと地味だけどよく当たる攻撃です。ここで効いてくるのが、
「同じパスワードをあちこちで使い回しているかどうか」
です。インスタも、同じパスワードだったら一緒に突破されます。
③ SMS認証コードを“だまし取る”パターン
これ、かなり巧妙です。
- まず誰か1人のアカウントを乗っ取る
- 乗っ取った本人になりすまして、友人にDMで
- 「認証コードがそっちに間違って届くかも。届いたら教えて〜」
と頼む
同時に、その友人のアカウントでパスワードリセットをかけると、その友人のスマホ宛に認証コード(6桁とか)が届きます。それを「友だちのため」と思って教えてしまうと、実はそれが自分のアカウントのリセットコードだった、というオチです。
認証コードは、どんな事情があっても絶対に人に教えない
これ、本当に鉄則です。
④ 端末やアプリ側のスキを突かれる
- スマホやPC自体がマルウェアに感染して、入力したID・パスワードを盗まれる
- よく分からない「連携アプリ」に過剰な権限を与えてしまい、そこから漏れる
「フォロワー分析」「自動でいいね」みたいなアプリは、便利そうに見えても、設定する前に一度冷静に
このアプリ、何を読み取れるようになっているんだっけ?
と確認したほうがいいです。
もし乗っ取られたかも? と思ったときにやること
怪しいサインにすぐ気づけるかどうか
こんなサインがあったら、迷わず「疑って」ください。
100%確信が持てなくてもOKです。「怪しい」と思ったら、その時点で
- パスワード変更
- ログイン中の端末の確認
- 二段階認証の見直し
をすぐにやるのが、被害を最小限にするコツです。
ログインできる場合にやること
ログインできない場合にやること
特に顔写真をあまり載せていないアカウントだと、本人確認が難しくなり、最悪「もう諦めるしかない」というケースも出てきます。
「顔出しはしたくない」という考え方もよく分かるのですが、復旧のしやすさとトレードオフになる部分がある、ということは頭の片隅に置いておいたほうがいいかもしれません。
使っていないアカウントは「一時停止」と「削除」を検討してほしい
正直な本音:もう使わないなら、消す選択はアリ
私自身は、今回狙われたゲーム用アカウントに関しては、
もう使う予定もないし、残しておく意味もない
と思ったので、削除する判断をしました。
- 放置アカウントは攻撃者にとって格好の的
- 乗っ取られて悪用されたら、自分のメールアドレスごと信用に傷がつく
これを考えると、
使っていないアカウントは、基本的に処分推奨
というのが、私の率直な結論です。
とはいえ「一時停止」という手もある
ただし、いきなり完全削除が怖い方は、
- アカウントを「一時停止(利用解除)」する
という選択肢もあります。
ざっくりいうと、
- 一時停止
→ データは残るけど、他人からは見えなくなる
→ ログインすればいつでも再開できる - 完全削除
→ 一定期間を過ぎると、データもアカウントも完全消滅
→ 基本的に復活はできない
という違いです。
「もう二度と使わない」と決めているなら削除、「今は使ってないけど、履歴は残しておきたいな」という方は一時停止、というイメージで選ぶと良いと思います。
これからの「デジタル身分証」との付き合い方
最後に、今回の件と、最近あったWordPressの不正アクセス未遂の件も踏まえて、自分なりの結論をまとめると、
いま使っているアカウント向け
もう使っていない・放置しているアカウント向け
- 存在を思い出したものから順番に
- しっかり守る(強いパスワード+二段階認証)か、
- 一時停止 or 削除するか
- 「存在すら忘れたアカウントが一番危ない」という意識を持つ
今回の私のインスタ騒動は、「とっくに忘れていた自分の過去のアカウントに、今の自分が足を引っ張られそうになった話」でもあります。
もしあなたにも、
あ、そういえば昔作ったSNSアカウントがあったような…
という心当たりがあるなら、今のうちに一度、思い出して確認してみることを強くおすすめします。放置されたアカウントが、知らないうちに誰かを傷つける道具になってしまう前に。
「いや、自分は乗っ取られた被害者なんです」