Life hack.

2018/01/31

「instagramの乗っ取り方法」は「乗っ取り対策」より強いのか


過去にアカウントを乗っ取られたんですが、

Instagramが乗っ取られた!<その1>
Instagramアカウントの乗っ取り方法<その2>
Instagram乗っ取り対策ちゃんとしていましたか?
Instagramが盗難され戻ってくるまでの2ヶ月間

この辺りに対して質問もいただいたりしますが、感覚的な答えでもうしわけないですが、Instagramへ問い合わせして返信を信じて待つしかありません。

いまだに使ってない(古い登録アドレス)へ再発行するためのURLだよ!というInstagramからのサポート連絡も来ます。この再発行URLは踏めばアカウント情報を自由に書き換えできる代物です。まじでどうにかしてほしい。

連続パスワード再発行に対策が少し追加されてる

SNSサービスでこのような再発行URLを配信するのは多いんですが、サポートとしては非常にザルのまま。インドネシア系からしきりにきます。URLが間違って他人にへ送られると簡単に乗っ取りが可能です。乗っ取りはメールを盗めばできちゃうともいえます。まぁどんなサービスでもメールアドレスが結構な本人証明だからみなさん、メールのセキュリティは強化!したほうがいいですね。

で、連続パスワード発行の方はInstagramは再発行攻撃に対して微力ながら対応をしたようです。連打されてはたまらないですからね

ログインできない「パスワード忘れた」とかでログインURLは発行できるのですが、これが大量に送れる問題を回避すべき「このメールをリクエストした覚えがない場合」というのが数通後からつくようになりました。最近日本語になりました。

ログインヘルプメールを60日間制限できます。推測ですがcookieのあるPC、アプリから以外のヘルプメールを停止させてくれます。これでノイズは減りますね。

2段階認証を設定するとログインを行うたびにSMSにパスコードが届きます。

2段階認証でSMS/電話番号も登録してるのですが、これも結構な頻度で再発行コードとURLが届きます。何を持って再発行を許そうとしてるかはもう少し考えてもらいたいものですが、、、こちらも制限対象になるのか、上でブロックすると静かになります。

2段階認証はログイン時に、SMSでセキュリティーコードを送るのが目的と、パスワードのリセット再発行で使われます。パスワードでログインできずに再発行を発信するときに通常はメールなんですが、SMSも選べてしまうということの様子。電話番号を入れさせるのかどうか確認できてませんが、電話番号が流出してたらもう避けようがなく、ひたすらSMSに届くパスワードリセットを受け取るしかないという、ある意味攻撃になるので「ログインヘルプ制限」は嬉しい機能ですね。

にしても、国内からのログインのみに制限とか、言語設定とか、本人確認処理はちゃんとしてほしいとおもいますよ。