月間アクティブユーザーが20億人を超えるInstagramは、サイバー犯罪者が狙いを定めているソーシャルメディア・プラットフォームである。ハッカーがアカウント乗っ取り攻撃を開始する手口は、悪意あるブラウザー拡張機能から高度なフィッシング・キャンペーンまで多岐にわたる。だが、警戒心が薄く準備もできていないユーザーを侵害するのに、そこまでの労力をかける必要があるだろうか。もっと簡単に成立する手があるのに。
“本物”のInstagramから「パスワードのリセット」を求めるメッセージが届いたら、狙われている
Instagramから、心当たりがない「パスワードのリセット」を求めるメッセージを受け取った場合、あなたは現在進行中のアカウント攻撃の射程に入ったということだ(編注:Xなどを見る限り、日本のユーザーにも同様のメールが届いている模様)。パスワードリセット攻撃の試行が急増していること(私は48時間で既に12件受け取っている)は、BreachForumsで脅威アクターが1750万件のInstagramユーザーアカウントの漏えいを投稿したという速報と関係している可能性が高い。侵害があったとされるデータベースは、攻撃が始まる数時間前に公開されていた。この進展について新たな情報が入り次第、追って報告するので、更新を確認してほしい。
朗報は、ある1つの防御策が有効になっていれば、この攻撃はおそらく成功しないという点だ。今何を確認すべきか、そしてその理由を説明する。
Instagramのパスワードリセット攻撃とは?
米国時間1月9日の朝、私はInstagramからのメールで目を覚ました。受信箱に入っていたのだ。とても本物らしいメールで、最近明らかになったSpidermanのような、フィッシング・アズ・ア・サービス型のサイバー犯罪プラットフォームがはびこることで一般化している「送信元ブランドのなりすまし(brand-spoofing)」ではなかった(Spidermanは「攻撃の広範な網を張り巡らせる」という性質から命名された)。
しかし、その件名は、最も巧妙に作られたAI駆動のソーシャルエンジニアリング(人間の心理を悪用して情報を引き出す手法)攻撃と同様に、不安を煽り、思わずクリックしたくなるものだった。「パスワードをリセットしてください」である。
これはネットワーク管理者にパスワードをリセットさせようとする、非常によくある犯罪手口であり、この件名のメッセージを見れば直ちに警戒心が働く。FBI(連邦捜査局)も2025年にこのようなパスワードリセット詐欺に引っかからないよう組織に警告を発している。
しかし、「サイバーセキュリティ意識向上トレーニング」や「企業セキュリティプロトコル」という後ろ盾のない一般エンドユーザーにとって、物事は白黒つけられるほど単純ではない。特に、先述のとおり、このメールが実際にInstagram自身から送られてきた本物のパスワードリセット要求である場合はなおさらである。
返信する前や何か行動する前に、10秒数えること
ここで、パスワードリセット要求が誤って発動されたのでない限り(これについては後述する)、攻撃者は「衝撃と畏怖」戦術に頼っていることになる。攻撃者はあなたに警告サインを見逃させ、Instagram自身からの「パスワードをリセット」ボタンを見て、反射的にクリックさせようとしているのである。だからこそ筆者は、どんなに緊急性があり正当に見えるメール、SMS、その他のメッセージにも、返信する前に10秒数えることを常に勧めている。
「このメッセージを無視しても、パスワードは変更されません」
深呼吸してメッセージを読めば、「このメッセージを無視しても、パスワードは変更されません。パスワードのリセットを要求していない場合は、お知らせください」と明記されていることがわかる。
もちろんハッカーは、あなたがこれに気づかず、ただ何も考えずにクリックすることを期待している。その時忙しいか、皮肉なことに、自分のアカウントが攻撃されているかもしれないというストレスで、今すぐパスワードを変更しなければと焦っているかのどちらかだからである。重要なのは、たとえあなたが反応してボタンをクリックしたとしても、攻撃者が成功するにはまだかなりの幸運が必要だということである。そしてここにおいて、ユーザーであるあなたが優位に立てる余地がある。
