EVENT | 2018/09/05

「レイバンスパム」だけじゃない。Instagram人気の高まりとともに乗っ取り被害が急増、ますます巧妙化する手口への対抗策とは?


筆者のInstagramへの投稿の一部


伊藤 僑
Free-lance Writer / Editor&...

SHARE

  • twitter
  • facebook
  • はてな
  • line

筆者のInstagramへの投稿の一部

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。

InstagramのMAUが10億の大台を突破

Instagramの勢いが止まらない。

2018年6月に同社が発表した月間アクティブユーザー数(MAU)は、ついに10億の大台を突破。1日のユーザー数は5億(※1)に達するという。8億を超えたのが2017年9月なので、四半期成長率は5%近い。業績が停滞するSNSが増えてきている中で、この勢いはどこまで続くのだろうか。

(※1)MAUは同月内における同一ユーザーの複数回アクセスをカウントしないため、1日のユーザー数が5億でも10億にとどまる。MAUが10億で、1日のユーザー数が5億ということは、多くのユーザーが頻繁にアクセスしていることを示す。

https://instagram-press.com/jp/our-story/

ユーザー数の急増とともに、Instagramはマーケティングツールとしても注目を集めるようになった。親会社であるFacebookはInstagramの売上を公表していないが、Facebookのモバイル広告の3割近くを占めているという推計も出ている。

2018年6月には、最長60分の縦型動画を配信可能なプラットフォーム「IGTV」をローンチ。10代、20代の若者たちに支持される縦長動画の採用は、YouTubeとは違うユーザー層を掘り起こす効果も見込まれ、ますますInstagramのブランド力を高めていくことだろう。

IGTVへようこそ

しかし、人気が高まりユーザー数が増えていけば、サイバー犯罪者のターゲットにもなりやすくなる。彼らはお金の臭いに敏感だ。

SNSの特性によって攻撃手法は異なる

サイバー犯罪の被害を被りたくなければ、攻撃者の手口を知ることが大切だ。ユーザーは各SNSの違いを理解した上で攻撃に備える必要がある。

例えば、FacebookやLINEのように友人や知人との交流を主目的としたSNSの場合には、攻撃者はアカウントを乗っ取った相手になりすまし、信頼関係を利用して電子マネーを購入させ、騙し取る手法をよく使う。

だが、InstagramやTwitterのように、気になる相手をフォローすることによって、そこからなんらかの情報を得ようとするようなSNSの場合には、同様の手法を使うことは難しい。では、どのような手法を用いるのか。

そこで着目されているのが、Instagramを活用したマーケティング手法として、目覚ましい効果を上げている「インフルエンサー・マーケティング」だ。

多くのフォロワーを抱えるインフルエンサーの影響力は企業も着目しており、ファッション、美容、飲食など、多様な分野の企業がインフルエンサーと契約を結び、商品やサービスの宣伝に活用している。「憧れのあの人が付けているアクセサリーを、私も欲しい」というようなファン心理を巧みに利用しているわけだ。

アカウントを乗っ取り、詐欺サイトに誘導

人気のあるユーザーや信頼されているユーザーがオススメするモノは売れる。そこでサイバー犯罪者は、アカウントを乗っ取り、犯罪者が運営する詐欺サイトに誘導して、お金を騙し取ったり偽物を売りつけようとする。

Instagramで少し前に被害が続出した「レイバンスパム」が、まさにこの手法を利用したものだ。以前、Twitterでも猛威を振るった同スパムは、アカウントを乗っ取り、偽のレイバンサングラスを格安販売すると謳う詐欺サイトの広告を表示させることでフォロワーを誘導する。

そんな分かりやすい手口に引っかかる人なんていないだろうと甘く見ていると、後で痛い目を見るかもしれない。犯罪者も失敗を繰り返すことで学習し、さらに巧妙な手口を使うようになることが予想されるからだ。

例えば、ファッションブランドの広告塔になっているユーザーのアカウントを乗っ取り、彼女がいつもオススメしているネットショップのURLを、見た目がそっくりの偽サイトに入れ替えたとしたら、騙される人が続出してしまう恐れがある。

アカウントを乗っ取られることが無いよう、警戒は怠らないことだ。

アカウントを乗っ取られないために

Instagramのアカウントを乗っ取る手口としては、以前からフィッシング手法がよく用いられてきた。運営サイドからのお知らせを装ったメールを送りつけ、偽のログインページや偽のパスワードリセットページに誘導することで、IDやパスワードを盗み出す手口だ。

セキュリティ関連企業のKasperskyは、8月29日に変更されたInstagramの「認証バッジ」取得手続きの変更を悪用した手口も警戒する必要があると指摘する。

認証バッジとは、アカウント名の隣に付与される青いチェックマークのこと。以前は、Instagramのお眼鏡にかなった著名人や大企業などしか取得することができなかったが、同社の方針変更によって、アプリからリクエストがすること可能となった。一定の要件を満たしていれば取得することができるようになったのだ。

サイバー犯罪者たちは、まだ出来たばかりで知名度が低いこの機能を悪用し、Instagramのヘルプセンターを装った偽サイトを作成。認証バッジ取得のための手続きだからと、ユーザー名、パスワード、メールアドレス、生年月日などの詳細な個人情報を入力させ、アカウントの乗っ取りに使用してしまうのだ。

詳しい個人情報があれば、二段階認証(※2)すら破られてしまう恐れがある。登録されている氏名やメールアドレスが共通な、他のサービスのアカウントを乗っ取られてしまう可能性も高くなるだろう。

(※2)Instagramは8月28日、二段階認証を強化し、従来の携帯電話のSMSを使ったものに加えて、サードパーティの認証アプリを使った二要素認証も利用可能にした。

このようなアカウント乗っ取りへの対抗策としては、「メール等に記載された怪しいリンクをクリックしない」、「ウェブサイトのURLが本物であることをチェックする」、「各種手続きをする場合は公式アプリから行う」、「他サービスの認証にSNSアカウントのログイン情報を使わない」などが考えられる。怪しいサイトをブロックする機能を搭載したセキュリティ製品を導入することも効果的だろう。


次回の更新は9月12日です。