フォロワー10万人のSNS 乗っ取られた被害者が語る後悔とは

フォロワー10万人のSNS 乗っ取られた被害者が語る後悔とは

偽サイトに誘導され名前とパスワードを盗まれる「フィッシング」被害は後を絶たない(ゲッティイメージズ)

 すべての始まりは「Instagram」を名乗る人物から届いた1通のダイレクトメッセージ(DM)だった。世界中で著名人のSNSアカウントが乗っ取られる事態が続出するなか、インタグラムで10万人を超えるフォロワーを持つA氏にも、魔の手はすぐそこに迫っていた。SNSについて十分すぎるほどの知識を持ち、「自分は大丈夫」と思い込んでいたA氏をも欺いた、SNSアカウント乗っ取りの手口とは──。

「これまでインスタグラムのアカウントが乗っ取られたというニュースを見ては、“間の抜けた人もいるもんだ。どうして引っかかるのか、知りたいよ”と思っていましたが、まさか自分の身に降りかかるとは……。乗っ取りがわかったときは、膝から崩れ落ちるような衝撃でした」

 そう語るのは、国内外の美景などを紹介するインスタグラムアカウントを持ち、フォロワー数は外国人を中心に10万人以上という“インフルエンサー”のA氏だ。

 最近、A氏は心血を注いで育てたインスタアカウントを何者かに乗っ取られてしまった。SNSの普及とともに世界中で乗っ取り被害が増えており、今年7月にはバラク・オバマ前アメリカ大統領やマイクロソフト創業者のビル・ゲイツ氏ら著名人のツイッターアカウントが一斉に乗っ取られた。インスタグラムでは過去にタレントの渡辺直美のアカウントが乗っ取られ、最近では元乃木坂46の畠中清羅が乗っ取り被害を告白した。

 被害者が増えるなか、「自分のような被害者が二度と現れないように」という願いから、A氏が乗っ取り被害に遭うまでの一部始終を明かしてくれた。

「認証バッジ」の誘惑

 今年の初夏の頃、A氏のもとに「Instagram Media Worker(ALEX)」を名乗る人物から英文のDMが届いた。A氏のインスタは外国人向けに英語も使用しているので、違和感を覚えることもなく、「何だろう」と開いてみると、以下の内容が記されていた。

〈あなたのアカウントはレビューされて、認証バッジ(a verification badge)を獲得しました。24時間以内にリンク先にログインすれば認証バッジを見ることができます〉

 先に記してしまえば、これは「フィッシング詐欺」と呼ばれる方法で、いかにも本物=公式に見えるサイトにユーザーを誘導してアカウント名やパスワードを入力させて、その後に詐欺師(ハッカー)がそのアカウント名・パスワードを使ってSNSアカウントを乗っ取る手口である。これまで多くの人がこのやり口でSNSを乗っ取られている。

 そんな古典的な方法に、なぜITリテラシーの高いA氏が引っかかってしまったのか。A氏が色めき立ったのは、メールに記された「認証バッジ」という文言だった。

 認証バッジとは、アカウント名の横に付くマークで、青地に白抜きの「レ」が入る。公式アカウントであることを示すバッジで、有名かつ価値のあるアカウントであることを示すバロメーターになる。誰もが取得できるのではなく、インスタグラムの運営側が「認証バッチに値する」と認めないと付与されないこともポイントだ。インスタグラムは〈一流の有名・著名人、ブランドの真正性が確認されたInstagramアカウント名〉に表示されるとしている。

「最初にDMを見たときは、“マジか!?”と驚きました。認証バッジは、インスタグラムで多くのフォロワーを獲得しようとしている人間からすれば、のどから手が出るほど欲しいものです。これがあるとないとでは、高校野球とメジャーリーグほどの格の違いがあります」(A氏)

何重にもチェックした末に…

 だが同時にA氏は「待てよ」と直感的に思った。「Instagram」との記載はあるものの、DMが本物であるとの確証はない。そこでA氏は様々なチェックを行った。

「まず送られてきたDMのユーザーネーム(アカウント名)と、そのプロフィールをチェックしました。相手のフォロワーが約1700件と少なかったことが引っかかったけど、“運営サイドの人間だから常時投稿しているわけでもなく、こんなものなのだろう”と思った。

 次に相手のユーザーネームをネットで検索しました。これまでに詐欺などに使われた名前ならネット上にさらされているかと思ったけど、検索では何も出てこなかった。何者なのかも不明でしたが、とにかく“コイツには気をつけろ”というサイトも見当たらなかった。送られてきたDMにあった『Instagram Media Worker(Alex)』という名前も検索しましたが、同様に怪しい検索結果はありませんでした」(A氏)

 さらにA氏は、メールに示されたリンク先をコピペして、それを検索してみた。

「DMに示されたリンク先がフィッシングサイトだったら、“このリンク先には気をつけろ”というサイトがあるはずだと思いましたが、それもなかった」(A氏)

 様々なクロスチェックの結果、「DMは偽物」との確証は得られなかった。一方で「DMは本物」であることを示す証拠もなかったが、不正だという証拠が出ないうちに、いつしかA氏は警戒心を失い、前のめりになっていた。

「認証バッジを得るにはインスタグラムに申請する必要があることは知っていましたが、その時はテンションが上がって、“向こうから声がかかるレアケースもあるんだ”と思い込みました。今にして思えば、10万人以上のフォロワーがいることから、“限られたものに与えられる特権なのだろう”との驕りが心の底にあったのかもしれません。“俺を見つけるのが少し遅かったんじゃないの、インスタさん”という気持ちすらありました。

 それまでにも、何度か『認証バッジをあげるからお金を払ってください』という類のDMが来て、その度に詐欺メッセージとして処理していたので、何が来ようが自分は騙されないという自信もありました。届いたDMの内容を何重にもチェックしたうえ、認証バッジをもらえるというテンションと、自分は騙されないという過信が重なって、“このDMは本物だ。一刻も早く認証バッジをゲットしよう”と思い込んでしまいました」(A氏)

ハッカーは「欲」につけこむ

 A氏はDMにあったリンク先をクリックし、出てきた画面の指示に従ってインスタグラムのアカウント名とパスワードを入力した。間もなく、スマホに2段階認証のパスワードとなる数字がショートメッセージで送られてきたので、迷うことなく入力した。

 だがその後には何の指示もなく、画面はそのままで次の画面に切り替わることもなかった。妙な静寂の中で「おかしいな……」との不安感に襲われたA氏はいったんブラウザを閉じてスマホを再起動し、改めてアカウント名とパスワードを入れてインスタにログインを試みたが、何度やってもエラーになった。「あの時は血の気が引きました」とA氏が振り返る。

「何かとてつもなくヤバいことが起きている感じがしましたが、後の祭りでした。その時点ですでにハッカーは僕のアカウント名とパスワードを利用して、インスタを乗っ取っていたはずです。その後も一切、ログインできず、インスタの運営ガイドに従って様々なマニュアルを試してみても結果は好転しませんでした。コツコツと育ててきたインスタのアカウントを乗っ取られたショックで気がおかしくなりそうでした。一刻も早く認証バッジを獲得して人に自慢したかったことが猛烈に惨めで恥ずかしくなり、このまま黙ってインスタの世界から身を引こうとまで思い詰めました」(A氏)

 ハッカーは、乗っ取ったアカウントに対して、「返してほしければ、〇〇しろ」と脅迫して金やヌード写真を要求したり、アカウントに投稿された写真や個人情報を盗んだりする目的で乗っ取りを行うケースもある。乗っ取ったアカウントに出会い系やアダルトサイト、激安商品の販売サイトや架空請求などに関する投稿を行い、フォロワーを特定のサイトに「誘導」することもよくある手口だ。

 乗っ取りの危険があることはわかっているのに、どうして引っかかってしまうのか??考え抜いてたどり着いたA氏の結論は、「ハッカーは人間の欲につけこむ」ということだ。

「自分は絶対に大丈夫と思い込んでいましたが、今回の件で、人間は欲につけこまれるとこうもあっさり騙されてしまうことを、我が身をもって知りました。僕の場合は、認証バッジに目が眩んでしまったわけです。タラレバになってしまいますが、いろいろ検索した後、最後に『インスタ、認証バッジ、詐欺』という検索をしていれば、警鐘を鳴らすサイトを見つけていたはずです。身を引き締めて今後はもう一段、セキュリティの意識をあげようと思います」(A氏)

 フィッシング詐欺はSNSだけでなく、Amazonや楽天などのネットショッピングのアカウントを乗っ取る際も使われる。クレジットカード情報や銀行情報を盗まれて、金銭的な実害を被ることもある。

 インターネットの世界では古典的でよく知られた詐欺なのに、それでも被害がなくならないのは、それが人間の心理の隙を突いているからだ。「自分だけは大丈夫」と思っている人ほど、A氏の告白を心にとどめて、大切なSNSを乗っ取られないよう細心の注意を払う必要がある。

 なおインスタグラムのホームページでは、アカウントの不正アクセスが疑われる場合の対処法を紹介している。実際に乗っ取り被害にあったと思われる場合は、そのページから通報してほしい。

●取材・文/池田道大(フリーライター)

関連記事(外部サイト)