二段階認証のありがたみを痛感。Instagramでパスワードを破られていた話

5月末あたりにInstagramからSMSでセキュリティーコードが送られてくきており、よくよく確認するとパスワードが破られていました。幸いにも私は二段階認証を設定していたおかげでアカウントを乗っ取られることはありませんでした。

少し前にTwitterやFacebookでアカウントの乗っ取りが多発していて、少し落ち着いたのかと思っていたら最近ではInstagramでもアカウントを乗っ取られる事象をよく目にします。

皆さんはパスワード管理や二段階認証の設定はできていますでしょうか。アカウントを乗っ取られないか心配な方はすぐに設定を見直してみましょう。

二段階認証とは

二段階認証とはセキュリティを高めるため、ログイン等の認証を二段階にすることです。ログインの処理に関してだと二段階の認証でオッケーがでないとログインできないということです。

昨今では多くのWEBサービスにおいて二段階認証を利用することができます。例えばGoogleアカウントやFacebook、Twitterそして今回お話ししているInstagramなど様々なWEBサービスで二段階認証を利用することができます。

二段階認証の方法はいくつかあります。本節では詳しく書きませんが、Instagramでは通常のアカウント名とパスワードの認証後にセキュリティーコードを入力する方法もしくはバックアップコードを入力する方法の2通りがあります。

WEBサービスのアカウントは日常的に狙われている

例えばこのcanonono.comでも毎日の様にログインしようと狙われています。wordpressでブログを運営していてプラグインなどを使ってログイン履歴を監視している方であればよくご存知かと思います。

wordpressを例えに出しましたが、InstagramをはじめとするSNSも例外なく悪用しようとする人が日常的にアカウントを狙っています。アカウント乗っ取りが多発しているのもそのためです。

InstagramからのSMSでパスワードが破られていることに気づきました

Instgramから送信されたセキュリティーコードです。二段階認証のセキュリティーを入力する方法ではアカウント名とパスワードでログインした後にInstagramからSMSでセキュリティーコードを送信してもらい、そのセキュリティーコードを入力することでログインすることができます。

つまりセキュリティーコードがSMSで送られてくるということはアカウント名とパスワードの認証は破られているのです。4回パスワード破られて二段階認証まで進まれていますね。

内容が英語のものと日本語のものがあることにお気づきでしょうか。日本語は私がログインするために送信してもらったSMSです。おそらくパスワードを破ったのは海外からのアクセスであったためSMSが英語になっているのだと思います。

パスワードが簡単過ぎた

なぜパスワードが破られたかというと、パスワードが簡単すぎました。これに尽きます。

  • パスワードがアカウント名から予測できる
  • パスワード文字数が短い
  • パスワードの英数の組み合わせが単純

Instagramはアカウント名でログインできるので投稿ページ一覧からアカウント名を見ればログイン情報の1つをゲットできます。さらにパスワードにはアカウント名を含むのではないかと仮説を立てることができます。個人的にはパスワードがアカウント名から予測できる点が一番良くなかったと感じています。

パスワードの文字数は9文字と短くはないですが長くもありません、しかも英数の組み合わせが単純であることと組み合わせることでパスワードとして弱くなっています。

パスワードを破られてから考えると、総当たり攻撃ですぐ破られるパスワードだな思いました。実際にパスワード破られてますけど…

世の中にはパスワードを破るために総当たり攻撃や辞書攻撃とか様々な攻撃方法がありまして、それらを駆使してアカウントを乗っ取ろうと攻撃してきているのです。色々なパスワードを何千、何万と繰り返し試すのもプログラムを使えば容易です。

パスワードはすぐに変更しました

パスワードはパスワードを破られていることに気づいた日に変更しました。私と同様に二段階認証を設定していてセキュリティーコードが送信されてくる事象が起きたらすぐに確認しましょう。

Instagramで二段階認証を設定する方法

私は実際にパスワードを破られましたが、二段階認証によって救われました。二段階認証はすぐそこにある救いだったのです。なので不安になった方はすぐに自分のパスワードの見直しと二段階認証の設定をしましょう。そうでない方にも二段階認証の設定を推奨します。二段階認証の設定はInstagramのアプリから簡単にできます。

Instagramアプリのオプション画面から二段階認証を設定します。二段階認証の画面にてセキュリティーコードをオンにするだけの簡単な作業です。オンにすると登録している電話番号にSMSでセキュリティーコードが送信されてくるのでセキュリティーコードを入力して二段階認証をオンにすることができます。SMSを送信する都合上電話番号の登録が必要なので先に登録しておきましょう。

バックアップコードの保管をお忘れなく

二段階認証を設定するとバックアップコードが表示されるので忘れずにメモやスクショして保管しておきましょう。黒く塗り潰している部分に8桁の数字で5個バックアップコードが表示されます。公開できないため黒く塗り潰してます。

バックアップコードは保険のようなもので、二段階認証を設定してしているがSMSでセキュリティコードを受信できない状態でもバックアップコードの入力でログインできます。

パスワード管理と二段階認証でアカウントを守る!

今回実際にパスワードを破られることでパスワード管理の甘さと、二段階認証のありがたみを実感しました。

悪意ある攻撃からアカウントを守るため、パスワードの見直しや、二段階認証の設定を検討してみてはいかがでしょうか。

ここだけの話最近WEBサービスにおけるアカウントの数が多くなり過ぎてストレスも感じていますので、セキュリティを高めつつ管理しやすい方法を模索していこうと思います。