最近Instagramの乗っ取りを見かけるようになった気がする(時々見るやつ)

-

皆さんこんにちは、紫夜千景です。


明日で受けてる講義が最終日なので頑張ります。

AIの講義ですが受けてて楽しかったです。


今日は、ここ最近目立ってるInstagramの乗っ取りのお話です。

急に流行りだしましたよね。


どうやらこんなメッセージが送られてくるのが発端だそうです。


最初見た時、「あー、前回取り上げた時と似てる手口だなー」と感じました。

誘導を仕掛けるとなるとDMが圧倒的便利ですからね。


ただ、今回の手口は「アンケートに協力するようにお願いする」で前回の時は「リンクを直接送ってくる」だったのでそこが違いですからね。

ちなみに無視すると「なんで無視したん」的なメッセージが来るそうです。ヤンデレかこやつ。こっちが何もしてないのに一方的に押し付けてくるヤンデレは好きじゃない。

今好きなのはうみたき、ういさき、ここしず、モナカトだ覚えとけ。これらにヤンデレならまだ許す。


そして、アンケートに協力してほしい旨を伝えられるんですがその際に何故か「SMSでアンケートリンク送るから電話番号教えてよ」と聞かれます。

なんでSMSで送る必要があるんですか(正論)そうだよ(便乗)

最近のInstagramってリンク送るとなんか制限でもかかるような仕様なんでしょうか?

それだったら賢いですね。でも、それ以外の狙いがあるでしょうね。

もちろん、ここで電話番号を教えてしまうとヤバイことになります。


ちなみにSMSとは、簡単に言えばLINEやInstagramのDMもどき。説明端折る。


話を戻しますが、ここで以下の条件に当てはまる人は電話番号を教えた時点でアカウントを乗っ取られると思います。

その条件は、「Instagramのアカウントに電話番号を登録している人」です。


実はInstagramの正式な機能のうちの一つに、「パスワードを忘れた場合」って機能があります。



これはInstagramのアカウントにパスワードを忘れてログインできなくなってしまった人用の救済措置です。

アカウントに登録されているメールアドレスや"電話番号"にパスワードを入力なくてもログインできるコードを送るそうです。



勘の良い人ならここで気づいたでしょう。

そう、パスワードなしでログインするために"電話番号"が必要なのです。


サービスの正式機能を悪用して不正にログインしたりする手口はよくあります。タチは悪い。カス。


しかし、それならそんなめんどくさいことせずにメールアドレスやユーザー名でも良いのだからユーザー名ですれば良いのでは?

それじゃダメなんです。


できるだけ最新の情報を調べてみたのですが、ここの入力する欄に「電話番号」「それ以外」ではどうやら挙動が違うようです。


まず、登録ユーザー名やメールアドレスをここで入力すると、そのユーザー名が登録されているメールアドレスや入力した登録メールアドレスにパスワードをリセットするか、パスワードなしでログインする"メール"が送られてきます。

こんな感じのメール。


そのため、ユーザー名やメールアドレスでは意味がないのです。だって、メールアドレスにログインしないと意味がないから。そしてそれはメールアドレスもパスワードも入手する必要があるため攻撃者側からすればとんでもない苦労です。


しかし、「電話番号」を入力した際の挙動のみ、先ほどのものと違うんです。

電話番号を入力すると、"ログインするためのコード"がSMSに送られてきます。

電話番号を入力した画面、つまり攻撃者側の画面では先ほどのコードを入力する画面が出てきます。

そのコードさえ聞き出してしまえばログインできます。


基本的に電話番号って1人1つしか持ってませんからね。(スマホ好きな人とかは2つ以上持ってるときもあるみたいですが...)

実際、この方法って電話番号をInstagramのアカウントに登録していない人は攻撃の意味がないと思います。

だってログインする情報に電話番号が紐づいてないんだもん。

今回は電話番号をアカウントに紐づけていると仮定して話を進めます。


さて、どうやってコードを聞き出しましょうか...?


ここで皆さん、一番最初の画像を思い出しましょう。


そうです、この投票の結果を聞く際にさりげなく聞き出してしまえば良いのです!

例えば「投票すると、電話番号のSMSにコードが届くはずなんですけどそのコードを教えていただけませんか?」という雰囲気で聞いてみれば多少は有効的でしょう。


ここでコードを手に入れればログインできるわけです。


攻撃者側にログインされてしまえば、自分が即座に気づかない限りは止めようがありません。

即座に気づいたのなら、自分以外の端末からログアウトさせる機能がInstagramにはありますからそれを使えば良いのです。

攻撃者側はパスワードを知らない以上、上記の同じ手段をもう一度繰り返さないとログインできませんからね。

流石に2回目はできないでしょう。怪しまれる可能性あるし。


攻撃者はログインしたら、これを他のアカウントでもやってもらうためにDMの送り先に同じことを仕掛けるわけです。

そうすれば攻撃者は一石二鳥です。アカウントが一時的?に好きにできるわけですし、それができるアカウントが増えるわけですから。


こんな感じのメッセージが友人から送られてきたらその人は被害にあったということです。

画像で説明するとこんな感じです。画像の方が分かりやすいでしょでしょ。


1人乗っ取ればそこから芋づる式に増えてゆく。ああ便利。なんと便利。


ただこれ何故か攻撃者、パスワードとかセキュリティ設定変えずに乗っ取った直後これする時があるんですよね。

それなら、すぐ締め出したりパスワード変えたり、ログアウトさせたりで対抗できます。


ただし、攻撃者がパスワードやセキュリティ設定などを抜かりなくやってくる場合もあるので注意が必要です。

それを解説しだすとこの記事の終わりが見えなくなるので今回は書きません。また今度!




最後にとんでもないことを書くのですが、もしかしたらここに書いたこと全部間違っている可能性だってあるのでご注意ください。

あくまで予想です。当たってる部分もあれば外れてる部分もあると思います。


今回の手法の対策は、

・怪しいDMは無視する

・誰であろうと簡単に電話番号などの個人情報を教えない

・知らない人から送られてきたリンクや怪しいリンクにアクセスしない

ですね。


最後の項目は昔記事に書いてるのでそちらを見ていただければと思います。




この記事が少しでも対策になれば幸いです。






説明足りてないから後に補足する記事出すだろうなこれ。

コメント

コメントを投稿

このブログの人気の投稿

パソコンの選び方!!(できる限り詳細に)

-
イメージ
皆さんこんにちは、 紫夜千景 です。 しばらくはエナドリに困ることはありません。 だって友達が買ったの1箱(24本)くらい余ってるんだもん。 といっても、昨日Twitterで飲まないとか言ってたやつが何言ってんだと思うかもしれませんが考えてみれば飲む量さえ気をつければどうにかなることに気づいたので飲みます。 Q:エナドリが体に合わないのは? A:ピンク色のモンスターなら飲める。 追記:1本で体調崩しかけたのでしばらく控えます。 ここ数日、高専に合格してる人をちらほらTLで見かけます。 合格発表で、高専に入学準備を進める人もいると思いますので、今回は高専で使うパソコンの選び方について解説したいと思います。 できる限り、詳細に書きたいと思います。 Q:OSは? A:Windows11一択。それ以外はない。 →別にWindows10でも構いませんが、Windows10は2025年10月14日でサポートが終了するほか、Windows10とWindows11で要求される機能や性能が違いすぎるのでここはWindows11にしましょう。Windows11にアップグレードできないパソコンを買うとすぐに買い替えるはめになります。 MacOSでも良いのですが、高専で使うソフトウェアと互換性がなかったりするのでやめておきましょう。 Q:CPUは何を使えばいいの?Intel?AMD? A:正直どっちでも良いけどIntelならi7、AMDはRyzen7。 →Intelなら第13世代、Ryzenは7000シリーズ以上を選びましょう。多少オーバースペックになるほうが高専にいる間は使えます。お金がもう少し出せるならi9、Ryzen9でも良いと思う。できる限り性能の高い新しめのCPUを選びましょう。 Q:メモリはどれくらい?8GB? A:高専で8GBに人権があると思うな。 →高専で使えるパソコンのメモリは16GB以上です。8GBのメモリでは高専で生きてはいけないと思ってください。8GBで生きていけないことはないですが、後のことを考えると余裕で足りなくなります。しかしCADやVSCodeを使っていると16GBが不満に思えてくるときもあるので、できるなら32GBでも良き。というより32GB選んどけ。64GBはオーバースペックですが流石にオーバースペックがオーバースペックすぎるので止めておきましょう。 Q...
続きを読む

部内ロボコンを見に行ってきた【前編】 (ロボコン生で見れてうれしかった)

-
イメージ
皆さんこんにちは、 紫夜千景 です。 昨日分の記事 が今までより大幅に遅れてしまって申し訳ありませんでした。 これからはベッドで記事を書こうとしないように心にとめておきます。 さて、本日は呉高専校内で行われた部活ロボコンを見に行ってきたのでその様子を2日間に分けてお送りしたいと思います。 1日分の記事でまとめるとかなりの内容になってしまいますので2日間に分けてその様子をお送りします。 本日分としましては、今回の部内ロボコンのルールや各チームの紹介とさせていただきます。 詳しい試合内容は明日の記事でお送りします!! 今回の部内ロボコンはAチームとBチームに分かれて対戦する形式となります。 競技名は 「100点ZONe」 です。 画像引用元: https://x.com/ROBO_workaholic/status/1912363262999482639   今回の試合内容は、エリアに配置されたジュースの缶をエリア中央の台に配置し、それで得た得点で競います。 真ん中の台に缶をどう置くかでも得点が変わり、 例えば下記の画像のように下の段に缶を配置すると40点が入ります。 (上の固まってるやつは気にしないでください) そして、上の段に缶を配置すると100点が入ります。 (こちらも上の固まってるやつは気にしないでください) しかし、台の上で配置できても倒れてしまった場合、1点が入ります。 今回は各チーム10本ずつ缶を用意し、その缶を配置して多くの点を得た方が勝利となります。 また、10本すべての缶を100点ゾーンに配置できると、その時点で勝利が決定します。 (友人に頼んで例として配置していただきました) 各チーム、それぞれの攻め方で高得点を狙い勝利することとなります。 ここからは各チームの機体紹介に移ります。 まずは Aチーム チーム名は 「にょういぼう」 、機体名は、 「玄武」 です。 ※漢字が分からなかったのでチーム名はひらがなです。 Aチームのリーダーの方の説明によると、 「奥の黄色いチューブなどを用いて缶を回収し、そこからある動作で全缶を100点ゾーンへ配置し、最大点を狙って勝利する」 という作戦で攻めるそうです。 また、本来の機体なら運ぶ・配置するの2つ工程が必要だが、期待にある工夫をすることでそれらをまとめて1つの工程で缶を配置することができるようになって...
続きを読む

高専の推薦入試のことを受かった人に聞く話 (管理人は落ちたので友人に聞きます)

-
 今回のブログは、PENguin君(高専の友人)とともにお送りします。 皆さんこんにちは、残すところ今年もあと4日となりました。 もう今年が終わるって時間の経過も早いですね。 さて、本日の内容は昨日のブログでは推薦入試に落ちた人たちの内容でしたが、今日は推薦入試に合格した人に話を聞いたのでそれをお送りします。 推薦入試についての情報は 昨日のブログ で大体まとめてあるので今回は省略します。 以下、PENguinと管理人の対談解説?になります。 管理人「入試の時に、どういう感じに志望動機って答えた?」 PENguin「だいぶざっくりいくと、小さい時からやっていたモノづくりや学校でプログラミングや回路の勉強をして面白さを実感して、そのあとに高専の存在を知って高専を志望しましたっていう感じかな。」 管理人「自分の実体験を入れると良い感じになるのか...自分パンフの言葉借りて言ってたからダメだったんだろうな...」 PENguin「高専側としては個性とか特出してる部分を見てるんだと思う。構文らしきものは怪しまれたりするんじゃないかな...実際面接受けて結果すぐ決める訳じゃないからね。」 管理人「やっぱりパンフ丸パクリはダメか...(そもそも終わってる)」 PENguin「流石にあれでしょ...」 管理人「面接でほかにはどういうこと聞かれた?」 PENguin「2つあって、一つは習い事についてでその時習ってたものに志望動機に繋がることを結び付けて言えたから結構手ごたえはあったね。 もう一つは、中学校の時に出たコンテストについて聞かれた。志望動機に組み込んでて、電気関係や入賞って要素あったから面接の半分くらいはそのコンテストについて聞かれてたと思う。」 管理人「それ答えるときに緊張とかで言葉詰まりとかあった?」 PENguin「あんまりなかったと思う。練習してたし、何より自分が頑張ったって言える内容なら意外とスラスラ言葉が出てくる。もし万が一、間違えたり詰まったりしても焦らずに訂正して、言い直せば問題はないはず。」 管理人「そういう面でも頑張りが生かされてくるね...間違いを訂正できるのは結構強いもんね。」 PENguin「面接は準備が本当に大切。準備ありなしでかなり変わってくる。」 管理人「学校での面接対策はどうだった?」 PENguin「高専の入試って公立や私立とは...
続きを読む