話題のインスタ乗っ取り事件 被害者が口をそろえて言う「引っ掛かった手口」とは？

　SNSアカウントは生活に密着したものであり、あなたそのものを表すと考えてもいいものかもしれません。何気ないつぶやきや目の前の風景を投稿できるという認識かもしれませんが、それはまごうことなき“発信”行為です。それも、世界に向けて。そのため、もしそこで不正アクセスが発生し、身に覚えのないコンプライアンス的に問題のある投稿がされてしまったとしたら、その影響は計り知れません。個人のアカウントだけでなく、組織やブランドの投稿を任されている従業員にも同じことが言えるでしょう。ではこれにどう対処すればいいのでしょうか。 　情報処理推進機構（IPA）は2025年8月、情報セキュリティ安心相談窓口からの注意喚起として「インターネットサービスへの不正ログインによる被害が増加中」という記事を公開しました。不正ログインに関してIPAに寄せられた相談件数は高止まりしており、2025年7月はこれまでで最も多い144件の相談が寄せられました。内容としてはSNSに不正ログインされ、自分ではログインできなくなったというものが多いとのことです。 　この中で話題になっていたのは、その攻撃手法です。注意喚起では特にInstagramの不正ログイン事例として、Instagramの知り合いになりすました攻撃者が、投票依頼などの「ダイレクトメッセージ」（DM）を送り、言葉巧みにログインに必要な情報を得る手法が紹介されていました。「実際にこれと同じ手法でやられた」とSNSで投稿していた方も多く、サイバー攻撃が身近に迫っていることがよく分かる事案です。 　DMでのやりとり内で電話番号を教えてしまうと、攻撃者はその番号を使ってログインを試行します。すると、SMSで認証コードが送られるタイミングで、攻撃者は届いたコードを聞き出そうと、メッセージを送ってきます。これを教えてしまうと不正ログインが成立し、アカウントが乗っ取られてしまうわけです。もちろん、あなたの友達にも同じ行為をすれば次から次へと被害が連鎖するでしょう。 　IPAはこの対策として以下の4点を挙げています。 1. パスワードは長く複雑にして使い回さない 2. 多要素認証を設定する 3. フィッシングやマルウェアに注意する 4. パスキーの利用を検討する 　これらはどれも大変重要、かつアカウント保護のための基本的な対策であり、特に多要素認証の設定はもはや必須です。そして重要なのは、その多要素認証の扱い方にあります。 　重要なポイントは「SMSなどで送られてくるコード、認証アプリで表示されるコードは、絶対に他人に教えない」ことです。ここでいう他人とは、メッセージで聞いてくるような“知人”らしき人だけではなく、画面上本物そっくりに作られたフィッシングサイトも含みます。実はこのようなワンタイムパスワードと呼ばれるコードは「正しいWebサイトに入力する」ことが、運用の鍵となっているのです。セキュリティに詳しい人ならばともかく、一般のユーザーがこの点を意識することは難しいのかもしれません。 　問題は、意識したところで「本物のWebサイトなのかどうかがもはや判別できない」ことにあります。SMSや電子メールで届くコードは本物でも、入力しようとしているWebサイトが本物かどうかは分かりません。「フィッシングサイトかどうかを目視で判断することはやめましょう」とこのコラムでも度々述べていますが、この運用ですとどうしても「見抜く」必要が出てきてしまうのです。 　最近のパスワード管理ソフトなら、このワンタイムパスワードを生成する機能も含まれています。これであればパスワード同様、ドメインまで見て自動入力されるので、やはりここでもパスワード管理ソフトが活躍すると思っています。最近はOS標準の機能でも十分活用可能。ぜひ、こちらの機能をまずは触れてみることをお勧めしたいと思います。