Instagramのアカウントをいとも簡単に乗っ取られた話

はじめに

先日、Instagramのアカウントを乗っ取られてしまいました。

特に更新頻度が高いわけでもなく、フォローもフォロワーも少ない鍵付きアカウントです。

 

最初のメール

最初に異変に気付いたのは、このメールが来た時です。

f:id:lime1724:20161005224103p:plain

「パスワード変更のリクエストを受け付けたから、ここから変更したまえよ」と言っています。

この時点で、「いや、リクエストしてねーし」と思ったのですが、あまり気にしていませんでした。すると……

 

2通目のメール

翌日くらいにこんなメールが来ました。

f:id:lime1724:20161005233142p:plain

はい、先ほどのメールから話が進んで「これはパスワードを変更した確認のメールだよ!」っていうメールが来ました。

この時点でも私は、「いや、変えてねーし」と思ったわけですが、一旦スルーしてしまいました。

 

すると、この次の日あたりにアプリを開いた時に、ログアウトされた状態になっていたんです。おかしいなと思いつつも、ログインを試みたけれどもパスワードは使えず。

幾つかのパスワード候補を試してみましたが、全て上手くいきませんでした。

しかし、この時、アカウントが乗っ取られているなど夢にも思わず、普通にパスワード変更をしました。

そして無事にログインができたのです。その時は自分のアカウントに特に異変はありませんでした。

 

3通目のメール

厳密に言えば自分がパスワード変更した時のメールがあるので3通目ではないのですが、乗っ取りに関係あるメールでは3通目です。

今回はこんなメールでした。

f:id:lime1724:20161005233056p:plain

スパシーバ!とは書いてませんが、ロシア語でした。

内容は2通目と同じです。この時点で結構な違和感を感じていましたが、まだ乗っ取られたとは思っていませんでした(笑

そして、この後もやはりログインに失敗し、パスワードの変更を余儀なくされたわけです。この時点でも、アカウントに異変はありませんでした。これが昨日の話です。

 

4通目のメール

ここから話が大きく進展します。私が寝ている間にこんなメールが来ていました。

f:id:lime1724:20161005225442p:plain

実際には、この前にパスワード変えたメールが来ていました。

このメールではなんと、アカウント名が変えられていました。伏せている部分には私のアカウント名とは別の名前が書いてありました。

朝、このメールを見る前にログインを試しており、その際にアカウント名が違う的なことを言われてこれは本当におかしいなと思ったのです。

そして、いざ、パスワード変更をしてログインしてみると、アカウント名も変わっており、フォローしている人の人数が810人になっていました。

810人てwwwって感じで驚きましね、割とガチで。

アイコンもなんかセクシーな女性の後ろ姿になってるし、紹介文も変わってるし、いかにも乗っ取られました感が出ていました。

しかし、勝手に投稿されたりはしておらず、フォロワーの数も変わっていませんでした。

 

その後

さすがに乗っ取られたことに気付いたのでパスワードを変更し、アカウント名も変更し、登録しているメールアドレスも変更しました。

そして、勝手にフォローしやがった810人の方々を全部フォロー解除していき、なんとか元通りに。

これでひとまず収まったかと思ったら……

 

怪現象

フォローの人数を元の数まで減らして、これでとりあえず様子見しようと思っていたら、なんと、数分後に増えてたんですよね、3人ほど。

めっちゃこえええええええええええ!!!!!!!!

と思って、これはまだ不正アクセスされているのでは?と思ったのですが、パスワードを変更された様子もなく。

しかも、人数が増えるペースもすごく遅いんです。20分か30分に2、3人くらい。

で、その度に解除してたんですけど、1時間くらい経った頃に気づいてしまいました。

これは、乗っ取り野郎が昨夜の間に送った、鍵付きアカウントへのリクエストが時間差で承認されているのだと。その証拠に、僕が解除した後に見ると、みんな鍵が付いていました。たまに、フォローリクエストが返ってきたりもしましたが全て拒否しました。

このブログを書いている時点(10/5 23:00)ではだいぶ落ち着いてきました。

 

終わりに

今回、初めて乗っ取られて、結構びびりました。

そして本格的に乗っ取られるまで、気付かない自分もなかなか愚かだなと思いました。

乗っ取られた原因はわかりませんが、パスワードを変更した後も向こうからパスワード変更返しをくらったのは、元のパスワードと似たものを使用したためと思われます。

アカウント、パスワード、メールアドレスを変更した後は、何かを仕掛けてきている形跡はありません。

もうこのような目に遭うのはこりごりなので、万全の対策を取っていきたいと思います。

が、しかし、Instagramでは2段階認証が実装されていないんですよね。

だから、不正ログインがあった時点で即座に気づくことは不可能なんです。

今回のように、パスワードが変更されてから気づくというパターンしかありえないのです。

これは現代のSNSにしては、ちょっと危ないなと思いました。今後の継続利用を少し考えるレベルです。

昨年、2段階認証のテストが行われていたようですが、なるべく早く実装してもらいたいものです。

 

とにかく、IDとパスワードの管理には細心の注意を払い、定期的な変更と、そもそも破られない頑丈なパスワードの設定を心がけましょう。