不正ログイン相談件数が過去最多に！ Instagramで“なりすましDM”による乗っ取りが急増【IPA調べ】

情報処理推進機構（IPA）は、「不正ログインに関する相談件数」の調査結果を発表し、インターネットサービス利用者に対する注意喚起を行った。

不正ログインとは、SNS、ショッピングサイト、ネットバンキング、クラウドサービスなどの各種インターネットサービスにおいて、第三者が他人のIDやパスワードを不正に利用し、アカウントにログインする行為を指す。

不正ログイン被害の相談件数、7月は過去最多の144件

調査によると、同社の情報セキュリティ安心相談窓口に寄せられた相談件数は、2025年7月に過去最多となる144件に達した。内容としては、InstagramやFacebookなどのSNSに不正ログインされ、自分ではログインできなくなったとの相談が多い。

今特に増加しているInstagramへの不正ログインの手口は、以下の通りだ。

1. なりすましによるDMの送信
   Instagram上の知人になりすました攻撃者から投票依頼などのDMが届く。実際には、その知人のアカウントはすでに不正ログインの被害にあっている。
2. やり取りの中で電話番号を教えてしまう
   DMのやり取りの中で、攻撃者に電話番号を伝えてしまう。
3. SMSで届いた認証コードを教える
   自分のスマートフォンにSMSで認証コードが届き、攻撃者にそれを伝えてしまう。
4. 認証コードを利用してアカウントを乗っ取られる
   攻撃者がその認証コードを使ってアカウントに不正ログインし、パスワードを変更。登録している電話番号やメールアドレスも変更され、多要素認証を設定されてしまう。
5. ログインできなくなり、リセットも不可能に
   自分のInstagramのアカウントにログインできなくなり、パスワードリセットも行えない状態になる。
6. 乗っ取られたアカウントがさらに悪用される
   乗っ取られた自分のアカウントを悪用されて、投資などの勧誘をするDM送信や投稿をされる。

こうした被害にあった際の対処法としては、自分でログインできる場合は速やかに「ログインパスワードの変更」を行うこと、自分でログインできない場合は各サービスのヘルプページや相談窓口に連絡することが推奨されている。

ID・パスワードが漏洩してしまう「3つの要因」

①単純なパスワードを推測される

すべての文字列の組み合わせを試す「総当たり攻撃」や、パスワードでよく使われる言葉などを集めた専用の辞書を利用する「辞書攻撃」。意味のある単語や、自分に関連の深い語句を使うと、辞書攻撃などによってパスワードを破られる可能性がある。

②特定のインターネットサービスから漏洩したパスワードを使われる

流出した名簿やIDとパスワードのリストを入力して試す「リスト型攻撃」。

③フィッシングサイト等に騙されて第三者にパスワードを教えてしまう

実在のサービスや企業をかたり、偽のメールやSMSへ記載したURLから偽サイトへ誘導。IDやパスワードなどを入力させることで情報を盗む。

不正ログインを防ぐための「4つの対策」

①パスワードは「できるだけ長く」「複雑で」「使い回さない」

パスワードの管理方法として、「コアパスワード」の活用も推奨されている。「コアパスワード」とは、短い覚えやすいフレーズをベースに、任意の変換ルールを適用して作成する強度の高いパスワードのことだ。

②「多要素認証」の設定をする

記憶情報、所持情報、生体情報のうち2つ以上を用いて行う方式「多要素認証」を推奨している。

③フィッシングやマルウェアに注意

受け取ったメールやSMSは削除すること。また、フィッシングサイトで誤って情報を入力してしまった場合は、速やかに情報を変更することが重要だ。

④パスキーの利用を推奨

パスワードのかわりに生体認証（指紋認証や顔認証など）やデバイスのロック解除機能（PINコードなど）の利用を推奨している。