前回のブログで、弊社Instagramアカウントの不正アクセスにより、弊社内よりアクセス、投稿、編集等ができなくなっていた件ですが、昨夜、「弊社アカウントの奪還」により復旧いたしましたことをご報告いたします。なお、復旧により、本ブログエントリー以降、前回のブログ内容は無効といたします。
さて、以下、参考までにアカウント乗っ取りから奪還、復旧までの流れをご説明したいと思います。「Instagramのアカウントが奪われた」という話しは意外と周囲でも聞く話しですが、セキュリティ上の設定の問題か?というと、少々、疑問なところも残ります。
この画像は、弊社アカウントの「Metaアカウントセンター」から確認できる「Instagramからのメール」です。セキュリティ上、弊社の設定メールは黒塗りしております。
まず、通常、InstagramでもFACEBOOKでもThreadsでも、普段と違うデバイスからログインがあった場合には、画像下部にありますとおり、「新しいログイン」ということでメールによる通知がきます。実は、今回どうしても謎なのことの根底にあるのがこのことなのです。5/18にはマシンの確認もあって新しいマシンでアクセスしていますので記録が残るわけです。
そして、赤枠のところなんですが、「2025/05/26 15:44」に、いきなり、「Instagram用のメールアドレスの認証」と「Instagramでメールアドレスが変更されました」というメールが送られてきています。そして、パスワードが変更され、さらに、二段階認証をオンにされ、再設定用の電話番号が削除されました。ようするに、弊社のInstagramのアカウントの設定そのものをすべて変更してしまったということです。
ずっとInstagramを監視しているわけではないので、この時点ではまだ気が付いておりません。ただ、この、2025/05/26 15:44に弊社メールアドレスに送られてきた、「Instagramでメールアドレスが変更されました」というポストは、仕事をしているメーラーでも確認できますが、これもまた、メールが届いてすぐに見るというわけではありませんので、この15:44時点では乗っ取りに気が付いておりません。
皆さんもご経験があるかと思いますが、最近、なりすましのメールがたいへん多いです。受信トレイに入ったメールの大半はなりすましのメールで、迷惑メールフィルターなんか素通りしてくるようなものばかりです。そういう状況で、Instagramから来たメールも、特段、自分がなにかやっていない限りスルーすることも多いのですが、この日はなぜか目に留まったっていう感じです。それがこのメールです。
この手のメールがなりすましのメールかどうかを判断する場合には、メールのヘッダー部分の記載を確認することが鉄則です。特に、Message IDは重要で、このメールのIDは、
「d192636f-0edc-4576-9936-336cc766af63@mail.instagram.com」
となっていました。また、メール内のハイパーリンクのアドレスも、Meta社のサーバーをさしておりましたので、このメールは、Meta社からのものであるという判断をしたわけです。
メールに気が付いたのは、16:40ごろです。この時点で、「????」という感じなわけですが、メールに記載があるように、メールアドレスを変更していない場合には、「アカウントの安全を確保できます」とあるハイパーリンクから、Metaのアカウント設定に飛ぶわけですが・・・・
この画像のログにありますように、すでに連絡用のメールアドレスは変更済みなわけですので、Metaからの情報はすべて、乗っ取った相手のメールアドレスにしか流れないわけですw
一応、Metaのアカウント設定では、「パスワードリセット」に対して、メールアドレスもわからなくなって受け取ることができない場合に、どこのメールに通知を出せばよいか?という設定があります。その場合、一回こっきりの認証パスを送ってくれ、それでInstagramなどにアクセスができるわけですが、17:09から繰り返しやろうとしていますw
でもダメなわけです。
なぜなら、「2段階認証」をオンにされていますので、そこでパスコードを入力しない限りログインできないからです。アカウント認証をSMSで行うために、設定していた携帯の電話番号を入力しますと、一応、設定は生きているようで、SMSでパスコードが送られてきますが、結局、再ログインの方法は「メール」でしかおくられませんので、乗っ取ったメールに通知されるだけなわけです。それが、17:38と17:56に記録されていますwww
ここで、Metaのアカウントについて、ちょっと触れておきますが、Instagramのアカウントは、Metaのアカウントの中の一つですので、FACEBOOKのアカウントと連携できていれば、FACEBOOKのアカウントからのアクセスも可能なわけです。パスワードリセットさえできれば、2段階認証はさておき、乗っ取った奴が弊社のInstagramのアカウントでなにかできるというわけではありません。というわけで、パスワードリセットを試みたわけですが、これが、18:08と18:57で記録されています。ですが、パスワードを変えたことは、乗っ取った相手のメールアドレスに連絡がいっていますw
この段階でできていることは、
「こちらがパスワードリセットを行い、パスワードを変更した」
ということですが、あとは2段階認証を行うということを突破するしかありません。これが厄介だったのです。Metaのアカウントの場合、Metaのポリシーにもあるように、個人(法人)であるということを重要視してますので、「本人確認」というものが必要になります。弊社のInstagramのアカウントは、ビジネスアカウントとしての登録はしていないので、一般の個人と同じカテゴリーにはなりますが、この場合、弊社のInstagramのアカウントの本人確認がどうなるのか?というと、結論から言えば、「個人のアカウントと同じ確認」であったというわけです。
MetaのInstagramのアカウントでは、2段階認証のところで、アプリ認証と、バックアップコードによる認証が用意されていますが、それもできない場合に、本人確認を行うモードというのがあります。2つあって、「自分の写真が登録されている場合」と「自分の写真が登録されていない場合」というものです。
この「自分の写真」というのが曲者で、字面だけでは、自分の顔が写っている写真、あるいは、アイコンのプロフィール写真が自分の顔でないとダメという感覚を持ちますが、おそらく、
「写真(画像)の登録があるかないか」
でしかないと思われます。言い換えますと、Instagramのアカウントを利用しているが、それは自分の写真(画像)をアップするわけではなく、単に、SNSとしてメッセージのやり取りや、他人のアカウントを閲覧するための「読み専」として使っているかだと思われます。ですので、画像をアップしているアカウントであれば、「自分の写真が登録されている場合」でよいのではと思いますし、結果、奪還したというわけです。
この「本人確認」をMetaのInstagramのアカウントでは、「セルフィー動画」というものをアップさせます。いわゆる「自撮り画像」です。
この「セルフィ―動画」については、ネット上では「通らない!」という断末魔が数多く見受けられますが、結論から言って、
「通るまであきらめずにやれ!」
ということの一択です。なお、ネット上には、Metaへの問い合わせフォームで、自分の個人情報などをフォームに入力して再認証を待つといった内容も見受けられますが、2025/05/27現在、そのような連絡フォームは存在していません!フォームを探すのはムダなのです。
この時、アカウントの再設定を認証するためのメールアドレスですが、それまでの
○○○○@fukutoh.co.jp
をやめて、別のメールアドレスにしています。あとでもお話ししますが、この弊社のメールアドレスが何らかの形でアクセスできる可能性も考え、全く別のアドレスで再設定することにしたのです。
「セルフィ―動画」による本人確認を行いますと、前段階で設定したメールアドレスに通知がきます。こんな感じです。
「セルフィー動画を判断するので、なんなら2,3日はかかるからね!」っていうメールなんですが、2,3日どころか、4分後には結果が戻ってきましたw
「本人確認できんかったんで、もういっぺんやれやw」っていうメールですw おそらく、多くの人は、これを2,3回やって「あかんわ><」って感じになると思うんですが、なんだかんだ言って、弊社の場合8回やりました。
動画の撮影ですが、個人を特定するというより、アカウントの運用者が「人間である」ということを重視しているのでは?と思われたので8回目には、わざと「背景に生活感あふれる」状況で撮影しました。すると・・・・
「おまえやってわかったから、パスワードのリセットをやれ」
っていうメールが来たのです!このとき、2つパスコードが発行されるのですが、一つ目は、元々のアカウントでログインできるための、ワンタイムパスワードが発行されるということです。これが6ケタで、その通知は、今、パスワードリセットするために通知されてたメールアドレスではなく、「元々設定していたメールアドレス」に送られるというわけです。
こんな感じです。そして、2つ目のパスコードが、いわゆる、「2段階認証」のパスコードになります。MetaのInstagramのアカウントの場合、8ケタです。これで、速攻でInstagramのアカウントにログインすると・・・・
ログイン成功!
です。ですが、ここで重要なのは、この段階では、まだ2段階認証方法がのっとられたままです。これを、自分の認証アプリにしないとダメなわけです。認証アプリをインストールして準備するわけですが、いつ、奴らがやってくるかわかりませんので慌てます。
2段階認証の変更ですが、そのままではできません。一旦、現状で、2段階認証を「オフ」にする必要があります。「オフ」にして、そのままオフで使い続けるというのもないわけではないですが、今回の一件で、セキュリティを強化する上でも2段階認証をオンにすることにしました。
さて、Metaのアカウント管理は、InstagramのアカウントもFACEBOOKのアカウントもTreadsのアカウントもすべて、一次元で「Meta アカウントセンター」で管理されます。
ここの「パスワードとセキュリティ」というところで、セキュリティチェックがあります。ここで、「ログインの場所」というのがあるので、定期的に確認することをおすすめします。ただし、インターネット接続で、デバイスのIPが変更になると、複数記録されていきますので、その点は判断する必要があります。
また、Metaのアカウントは、FACEBOOKのアカウントで、Instagramのアカウントへのログインや、その逆が可能です。さらに、Metaアカウントセンター内で、別のInstagramのアカウントを登録することで、その別のアカウントでログインできるというのは一見便利そうですが、その一つが乗っ取られますと、MetaのほかのSNSへのログインを可能にしてしまうので、今回の一件でこちらも外しました。
これは、「コネクテッドエクスペリエンス」というところの、「ログインに使用するアカウント」という設定で行うことができます。
今回の乗っ取りですが、どうしても理解できないのは、最初にメールアドレスを変更されたときに、乗っ取った奴がどうやって、「FUKUTOH_CO_JP」というアカウントのパスワードを見破ったのか?ということです。そして、どこかで漏洩したとしても、どうして、「別のデバイスからログインがありました」という通知が来なかったのか?ということです。
実はここが非常にひっかかっています。これは、「普段使いのデバイスからアクセスがあって、メールアドレスの変更が行われた」ということと、そのメールアドレスの認証を行ったのは、まぎれもなく「自分」だということなのです。言い換えますと、普段使いしているデバイスが外からアクセスできたのではないか?という疑念があるのです。
もう一つは、Metaのアカウント管理が、すべてアカウントセンターで行われていることから、Meta側のサーバーに侵入して、特に2段階認証がかかっていないものをターゲットにしているのでは?という疑念です。
その部分も含めて、ちょっと調べることにしました。
