今年3月、Facebookから5億件を超えるユーザーのアカウント情報が流出したが、その中には、何百万ものInstagramユーザーのデータも含まれている。

アカウント情報を盗まれると、詐欺行為や嫌がらせが行われるおそれがある。例えば、ある商品を安く販売するという広告を勝手に投稿され、そこにアクセスした人が商品を購入しても、商品は発送されず、代金をだまし取られるという詐欺行為が起こるかもしれない。また、人には見られたくないような写真を勝手に投稿されるおそれもある。

そこで、マカフィーが公式ブログの記事「Instagramのアカウントを保護するための3つのポイント」を参考に、Instagramのアカウントを保護するポイントを紹介しよう。

Instagramでは、ユーザー名の隣に小さな青いチェックマークが付いているが、これはアカウントがInstagramによって認証されていることを示すバッジだ。通常、こうしたバッジがあれば、信用できるアカウントと見なされる。しかし、攻撃者はユーザーから自身の認証情報を引き渡すように説得する手段として、このバッジを悪用しているという。

  • スターバックス コーヒーは認証を受けているので、アカウントの横にバッジが表示されている

セキュリティ研究者のLuke Leal氏によると、認証バッジを悪用した犯罪はフィッシング詐欺と同様の手口が用いられているそうだ。正規のInstagramの投稿ページに似せた偽の投稿ページにおいて、認証を申請するように促し、「今すぐ適用」ボタンをクリックした後、フィッシングフォームに誘導されるという。

被害者がフォームを送信した場合、Instagramの認証情報は攻撃者の電子メールの受信トレイに入る。この情報があれば、攻撃者は被害者のソーシャルメディアページに不正にアクセスすることができる。さらに、特定のフィッシング詐欺はユーザーに関する電子メールログインを標的にしているため、ハッカーは被害者のアカウントの所有権をリセットして登録することも可能だという。

マカフィーでは、こうした認証バッジを悪用した攻撃からInstagramのアカウント情報を守るポイントとして、以下を挙げている。

リンクはクリックする前に確認する

この詐欺に用いられているリンクを調べると、実際にはInstagram.comと提携していないことがわかる。さらに、安全なHTTPSプロトコルを使用していない。そこで、リンクをクリックする前は必ずURLを確認することが吹奏される。

偽のページに騙されない

プロフィールの認証バッジの取得を望んでいる場合は、そのプロセスをきちんと確認しておく。認証のプロセスにおいて、Instagramはメールアドレスやパスワードを要求しないが、代わりにEメールで確認リンクを送る。

パスワードをリセットする

攻撃者がアカウントを制御しようとしていることが疑われる場合は、パスワードを再設定する。