ここ1週間程でInstagramのアカウントを乗っ取られた報告が色々なところに出ています。Gigazineにも記事がありましたが、パスワードリセットのE-mailアドレスも変更になってしまっている被害ユーザが多いようなのでInstagramユーザは注意が必要です。
gigazine.net
◆キタきつねの所感
Twitterにどんな感じになってしまうのかの写真が挙がっていましたので引用しておきます。
どうやらパスワードリセットの為のメールアドレスが変えられた上で、Instagramアカウントが乗っ取られている様です。さらにプロファイルの写真がディズニー映画のモノに更新され、一部のユーザはUPした写真も消されている様です。極めつけはパスワードリセット先のメールアドレスは、ロシアドメインに変わっているという被害報告が非常に多いです。
悲壮なTwitter報告が多いですね。記事を書きながら調べているのですが、カスタマーサポートの評判ががた落ちですし、ヘルプページが役立たない・・・等々、被害はまだまだ続いているようです。
8/11(土)から状況が変わってない(Instagram運営への非難)との声や、変えられたとの報告が多いアイコン、ディズニー映画(トイストーリーのキャラクター)が設定されている事も多いようです。
アクセスする為の手段を全て失われたという方ばかりですね。パスワードが脆弱だからハッキングされたのではないか?という素朴な疑問に対して、下のユーザは12桁のパスワードでもハッキングされたと書いています。脆弱なパスワードか、リスト攻撃という可能性もまだありそうですが、多くのユーザがハッキング被害を受け、変更メールアドレスがロシアドメインという特徴から考えると、組織的なな攻撃(0デイ?)である可能性が高いかも知れません。
8月1日にハッキング被害を受けた方の書き込みを見つけました。パスワードリセットのメール受領までは行った様ですが、リンクの有効期限が切れていたということで、アカウント奪取までたどり着けなかったとあります。
この書き込みも結構インパクト大きいかも知れません。新しいメールアドレス(不正メールアドレス)の登録について「revert this change」(元に戻す)機能が働かないと書かれています。
この方は、Gmailを使われていた様で、新たしいメールアドレスへの不正変更について、別に考えられるのは、、、Gmailアカウント(紐付けアカウント)とInstagramアカウントの両方がハッキングされたとすると、もしかすると、この乗っ取りの手口になるかも知れません。(推測を多分に含みます)
①Gmailアカウントを乗っ取る
②Instagramに不正ログインする(パスワードがGmailと同じ、あるいは容易に類推できた)
③Instagramの登録メールアドレスを(ロシアドメインのメールアドレスに)変更する
④Gmailに送付された変更通知メールを削除する
今回の大量アカウントのハッキングについては、Instagram側のシステム不備もありそうですが、短期間(2週間程)で一気にアカウント乗っ取りが成功していますので、FacebookやInstagramの評判を落すために仕掛けられた組織的な攻撃という見方もあるかも知れません。
公式には手口が公開(発表)されてないので、上記は、被害を受けた方のTwitter情報からの類推になります。
一方で2段階認証も役に立たなかったという情報もありますので、別な脆弱性を突かれた可能性もあるのですが、防衛策としてユーザ側で出来る事は、Instagramのパスワード、それに紐づいているメールアカウントのパスワードを安全な状態にしておく(使いまわししない)位しか、今の所思いつくところがありません。。。
Instagramユーザはご留意を。
更新履歴