昔からあるアカウント乗っ取り事件なんですが、ここ最近身の回りでリアルに起こったので注意喚起のため記事にします。
こういったことは昔からあるのですが、手口も古典的なものです。
インスタに限らず知らない人からのメッセージ(知ってる人も)内容にはお気をつけください。
今回はその手口からアカウント取り返すまでをまとめてみます。
私の友達Aさんがまず乗っ取り被害に遭いました。
被害の初動はインスタのフォロワーさんからのメッセージだそうです。
「なんとかのコンテストに応募するので投票してください、それには電話番号が必要なので電話番号を教えて下さい」
上のようなメッセージが届いたそうです。
フォロワーで普段メッセージのやり取りをしているお知り合いですがリアルでは会ったことのない人だそうです。
電話番号を教えるとその番号に届いたショートメッセージを送り返してくださいと言われたそうです。
相手(悪い人)が英語版のアプリを使用していたのでしょう英語のメッセージがショートメッセージで届いたようです。
このようなメッセージが英語の文章で届いたようです。
日本語で書いてあれば気がついたかもしれませんが英語で書いてあると内容を読もうともしない人がいます。
このコードを相手(悪い人)に送ってしまったようです。
この時点でやってはいけないことをやってしまっているのですが、インスタ、FaceBook、WhatsAppはどれも同じmeta社の製品です。
インスタグラムのパスワードの再発行(パスワードがわからなくなったとき)にWhatsAppで本人認証ができてしまいます。
相手(悪い人)はまんまとこちらの電話番号のWhatsAppを手に入れます。
WhatsAppを使用してインスタグラムにログインしてパスワードを変更します。
電話番号も変更してしまいますし、二段階認証(アプリ認証)なども取られます。
すると、こちらは自分のパスワードでもログインできませんし、ログインできないのでパスワードの変更もできません、挙げ句パスワードがわからなくなったとき用のSMS認証も相手のWhatsAppに認証が行くようになり手も足も出なくなります。
相手(悪い人)はこれを乗っ取ってそのアカウントのフォロワーに対して同じようにアタックを仕掛けます、そうして次々にアカウント乗っ取りを進めていくようです。
では、ここから乗っ取られたアカウントを取り返した方法を記述します。
※アンドロイドやiphone、バージョンなどで表記や手順が多少違うかもしれませんがだいたい以下のような流れでいけると思います。
再ログインする場合、電話番号やメールアドレスもしくはユーザーネームを入力しますが、電話番号もメールアドレスも変更されているので、「パスワードを忘れた場合」をタップして「ユーザーネーム」を入力して検索します。
メールアドレスにコードを送信となりますが、もちろんメールアドレスを変更されているのでこちらに届きません。
「別の方法を試す」をタップします。
instagramアカウントの回復方法で「WhatsApp」「メール」「SMS」が選択できますが、どれも使えません。
「別の方法を試す」本人確認のためにセルフィー動画をアップロードを選択します。
これは、インスタの投稿に自分の写真がある場合のみに有効です。
自分のメールアドレスを聞かれますので今受信できるメールアドレスを入力します。
メールでセルフィー動画撮影用のリンクが届きますので指示に従ってください。
自分の顔をcameraで撮影して送信します。
認証された場合、しばらくすると、いま登録したメールアドレス宛にバックアップコードが送られてきます。
「バックアップコード」とは
パスワードを忘れたりスマホが使えないときなどに最終手段としてログインするための手段です、設定のアカウントセンターから確認できます。
「設定」-「アカウントセンター」-「パスワードとセキュリティ」-「二段階認証」-「自分のアカウント」-「その他の方法」から確認できます。
各コードは一度しか使用できません。
誰にもわからないところに控えておいてなくさないようにしておいてください。
さて、そのバックアップコードでログインできましたら「悪い人」に再度乗っ取られる前にメールアドレス、電話番号、パスワードを変更します。
ここで、大事なのはこのままでは再度乗っ取り返されるということです。
そう、WhatsAppも取り返しておかないと何度でも取られてしまいます。
なので、WhatsAppを使わなくても一度アプリストアからダウンロードしてください。
WhatsAppのログイン時にはパスワードなんかもちろんわからないので
先程のようにパスワードが分からなくいなった場合で再設定してください、この時点でまだWhatsAppの登録電話番号がこちらに番号のままであればSMS認証はこちらに届きますので再度パスワードを変更します。
さらに、FaceBook、Instagram、WhatsAppすべてのアプリで二段階認証を設定しておきましょう。
https://www.microsoft.com/ja-jp/security/mobile-authenticator-app
こういったアプリで二段階認証を登録します。
ワンタイムパスワードを生成して認証するアプリなので登録したアプリにログインするときに都度ワンタイムパスワードを求められるようになります。
そうすると、悪い人がユーザー名パスワードを入手しても勝手にログインすることができません。
なお、このアプリの使用にはMicrosoftアカウントが必要になります。
Googleを利用している人はGoogle Authenticatorでもいいかもしれません。
https://apps.apple.com/jp/app/google-authenticator/id388497605
いずれにせよ、SNS全盛の時代ご自分のアカウントを守るのは自分しかいません。
みなさまもどうかご自分のアカウント管理にはお気をつけて下さい。
上記認証アプリの登録方法はそのうち気が向いたら記事作成するかもしれません。