LINEで知り合いからこんなメッセージが届いたらどうしますか？

これは実際に起きた事案です。

始まりはSMS

TさんのiPhoneに知り合いのNさんからメッセージが届きました。

N「こんにちは♥オンラインインフルエンサー プログラムのアンバサダーに立候補しているですが、投票していただけますか？」

画像の通り、やたらと絵文字が使われているのが特徴的です。Nさんも落ち着いた良いお歳の方なので、ふだんはそのようなことはありません。「頑張っているのかな？」と単純に思ったTさん。

T「どうやってやるの？」

N「こちらに携帯電話番号をお送りください。確認コードをお送りします。ありがとうございます！」

T（ん？今、SMS送ってきてるし、Nさんは私の携帯番号知ってるのにどうしたのかな？）

T「000-0000-0000」

T「Yにも頼んだ方が良いかしら？」【Tさん、親切すぎ】

T「もう一本電話あるわよ。111-1111-1111」【Tさん、ますます親切すぎ】

Nさん、それには答えず

N「モバイルの受信トレイをご確認ください、投票確認用の6桁のコードスクリーンショットを撮り、確認のためここに送信してください。」

Tさん、操作が分からずモタモタしているとNさんから連絡あり。

N「他の番号を確認してください。私はちょうどそこに別のコードを送りました。」

T（スクリーンショットを送る。）

スクリーンショットには

• Your WhatsApp Business code 000-000
• Don’t share this code with others

と記載されている。

N「ハートマーク」

T「他の携帯ではWhatsAppしてないけれど」

ここでTさん、やっと不審に思う。

T「あなた本当にNさん？！」

メッセージはそれっきり。

これはソーシャルクラッキングという手口で、WhatsAppの二段階認証コードを教えてしまいました。

WhatsAppが厄介

FacebookやInstagramのMetaが提供しているメッセージアプリがWhatsAppです。Facebook版LINEと思えばだいたい合っています。MetaにはMessengerもありますが、どのように棲み分けているのかはよく分かりません。

日本ではLINEが圧倒的に優勢ですが、米国ではWhatsAppが当たり前のようです。国内では入れている人も少ないと思います。

しかしFacebookやInstagramの認証に必要になるシーンがあります。インストールしてあろうと無かろうとかまわず「WhatsAppにコードを送信しました」と、Metaは言ってきます。

このWhatsAppが、残念なことにサイトからログインできてしまいます。

https://www.whatsapp.com/

今回は偽NさんがWhatsAppサイトからログイン、二段階認証コードをメッセージで聞いてきたというパターンでした。

• ショートメッセージであれば携帯電話というデバイス（物理）依存なので、まだ安全だったかも？
• WhatsAppをはじめとする「コードによる二段階認証」は、すでに時代遅れで安全な認証とは言えないと言われ始めています。
• ところでNさんからのSMSはどうやって送られたのでしょうか？Macであればメッセージアプリで送信もできますが、Appleアカウントとの連携等、以前のハードルが相当高くなっています。

Instagram乗っ取り！

TさんはしっかりとWhatsAppを乗っ取られてしまいました。

Nさんが偽者と気づいた時点ですぐにWhatsAppを取り返していれば、その後の被害は無かったかもしれません。WhatsAppは電話番号依存で、比較的簡単に「他からのログインを強制的にログアウト」させることができます。その後、新しいPINを設定して終わりです。

しかしTさんは「何だったんだろう？」と思っただけで手を打ちませんでした。

翌日。

Instagramのストーリーに「1日15分で5万円！」のような、明らかな詐欺広告が掲載されています。フォロワーにも続々とメッセージが送られました。のんきに構えていたTさんもここでやっと「ヤバい！」と大慌て！

• Instagramも二段階認証を設定していたが、Authenticatorの設定をしていなかった。
• バックアップコードを記録していなかった。
• ログインしようとするとパスワードが変更されていた。
• 「パスワードを忘れた場合」をクリックすると「t******@gmail10.comにコードを送信しました」と、メールアドレスも変更されていることが判明した。
• 色々と手を尽くしWhatsAppにコードを送信するようにできたが、その後「Authenticatorで生成したコードを入力してください」と言われる。Authenticatorはログイン状態の二段階認証画面でセットアップキーを取得しないと設定できない。つまり、乗っ取られた後で設定することは不可能。

回復手順

SNSの乗っ取りに遭った際の基本的な手順は以下の通りです。

• これまでログインしていたデバイス（スマホ・PC・タブレット）で回復作業する。
• 「パスワードを忘れた場合」を押して指示された手順に従う。
• 二段階認証が求められた時にメールもAuthenticatorもバックアップコードも使えない場合、SMSが最後の砦。
• どうしてもダメな場合はサポートを依頼する。

実際の試行錯誤

メールアドレスは書き換えられて他所に行ってしまいます。

Authenticatorもバックアップコードも未設定です。

Tさんからレスキューを依頼された私が足掻くと、なんとか「本人確認申請画面」にたどり着けました。有効なメールアドレスを求められるので送信します。この作業を行うためには

• 動画を撮影可能なデバイスで作業していること。
• Instagramに自分が写っている投稿が掲載されていること。

が必要です。「有効なメールアドレス」が「登録メールアドレス」であることは要求されませんでした。登録メールアドレスは書き換えられちゃってますからね。メールアドレスに「動画アップロード用URLを送るよ」と言っています。これで一安心…と思ったのが大間違い！

メールが全く届きません。

複数のメールアドレスで試しました。明和間メールフォルダももちろん確認しています。メーラーの不具合も考え、Webメールでも確認しました。全てダメ。メールが送信されたとは思えません。

「このやり方はダメだ」

別の画面で「サポートを依頼する」に辿り着くことができました。そのURLを掲載したいところですが、単にログイン試行中の画面ですので「このURLだよ」ということができません。Instagramのヘルプページにも「サポートを依頼する」をクリックしてくださいと書いてある、そのボタンです！ついに、ついに表示することができたぞ！！！！

と、ボタンを押すとしばらく待って「error」という素っ気ないダイアログが表示されました。

タイミング的な問題かと思い、その後数日間試しても同様です。

Metaは返事をしない

• Instagramヘルプページに書いてあることが、実際のアプリの画面と一致しません。「サポートを依頼する」ボタンは、通常は表示されていません。
• 運良く「サポートを依頼する」ボタンを表示できてもエラーになります。
• 自撮り動画を送るための案内メールは届きません。
• 別アカウントでログインし、アカウント設定画面のヘルプページから状況報告をしてサポートを依頼しても、2週間以上全く返信がありません。

Xですら明確なサポートセンターがあり、なんらかの返信があります。しかしInstagramはサポート窓口も明示せず、ヘルプに対する返信も全くありません。相当に評判が悪いですね。

https://www.reddit.com/r/Instagram/comments/1kwt6qk/instagram_account_locked_what_should_i_do/?tl=ja

乗っ取られる前に

• 二段階認証を設定しましょう。
• 信用できる二段階認証はAuthenticatorのみと思いましょう。設定が分かりにくいのが難ですが、分からなければ詳しい人に頼みましょう。
• バックアップコードは記録しておきましょう。画面キャプチャを撮っておけばOKです。
• パスワードは意味の無い長い文字列にしておきましょう。「定期的に変更」することは、現在は推奨されていません。
• パスワード設定時は、事前にメモ帳アプリにランダムな文字列を書いて、それをコピペしましょう。
• パスワード、バックアップコード、PIN等はテキストデータとして保存しておきましょう。
• よくあるのが、ノート（紙）にパスワード等をメモしていることです。これは止めましょう。新しい物と古いものがゴッチャになります。また1とlなど見分けが付きにくくなります。
• 念のためWhatsAppを入れておきましょう。
• 「コードを教えて」は詐欺です！！！

乗っ取られたら

• 少しでも「怪しいな？」という事態に遭遇したら「他のデバイスでログアウト」を実行しましょう。
• すぐにパスワードを変更しましょう。
• ログインできることを確認しましょう。
• 二段階認証を再確認しましょう。
• IDやパスワード、設定状況の一覧表を作っておきましょう。

そもそもSNSは「おまけ」として使うべき

最近は店舗ホームページがInstagramのみというところが目立ちます。ほとんど無料で、きれいな写真さえあれば見栄えの良い情報提供ができます。

否定する要素は全く無いのですが、以下の問題があります。

• 他社が運営しているので、いつ規約やシステムが変わって、意図した情報提供ができなくなるかもしれない。
• 特に住所・電話番号・地図等のリンクが張りづらい。そもそもGoogleマップを貼る手段があるのだろうか？まだ見たことがない。
• 投稿同士の連携が苦手。
• 検索機能が無い。

SNSはリアルタイムの情報提供や「なんとなく見て見つける」ような宣伝には実に向いていますが、基本情報提供や持続性のある販売促進には向いていません。あくまで自社WEBサイトの補助手段として利用するのが良いと思います。

使いやすいSNSでリアルタイムな投稿をしたら、自社サイトにアーカイブとして転載するといったことも今後はますます重要になるかもしれません。これはサイトにFacebookやInstagramのフィードを表示するという意味ではなく、SNS投稿をコピーして自社サイトの記事として掲載するという意味です。今のところ人力でしか対応できないのが悩みですが。

うまく使って役立てましょう。