IPA 不正ログイン被害急増と対策

独立行政法人情報処理推進機構（IPA）セキュリティセンターは、各種インターネットサービスへの不正ログイン被害が増加しているとして注意喚起を行った。2025年7月の相談件数は144件で過去最多であり、InstagramやFacebookなどのアカウントに不正ログインされ、本人がログインできなくなる相談が多く寄せられているとする。本件は、手口の整理、被害時の対処、日頃の対策、参考リンクで構成され、個人ユーザに具体的な行動を促す内容である。

被害動向（相談の特徴）

IPAには不正ログインに関する相談が継続的に寄せられており、2025年7月は144件と最多であった。相談の中心は、SNSアカウントへの不正ログインにより、パスワード変更や登録情報書き換えを受け、本人が復旧できなくなるケースである。サービスを利用するユーザ自身の対策が不可欠であるとの立場が示されている。

不正ログインの基本的な手口

不正ログインは、IDとパスワードを悪用して第三者が本人になりすましてログインする手口である。IPAは、以下の三つを主因として整理している。

• 要因1：推測・総当たり・辞書攻撃
  「意味のある単語」や「本人に関連の深い語」を用いると辞書攻撃等で破られやすい。総当たり攻撃による突破も想定される。

• 要因2：流出パスワードの悪用（リスト型攻撃）
  他サービスから流出したID・パスワードの使い回しが突破口となる。攻撃者は流出リストを用い、多数のサービスへ機械的に照合する。

• 要因3：フィッシング誘導
  実在企業やサービスを装ったメールやSMSで偽サイトへ誘導し、ID・パスワード等を入力させて窃取する。ネットバンキング等を狙う手口にも注意が必要である。

相談が多い具体例：Instagramの乗っ取り

IPAは、Instagramでの乗っ取り被害の相談が多いとして、典型的な流れを示している。知人になりすましたDMで投票依頼などのやり取りを行う過程で電話番号を伝えてしまい、そこへ届いたSMSの認証コードを攻撃者へ教えてしまう。攻撃者はコードを用いて不正ログイン→パスワード変更→登録情報（電話番号・メール）書換え→多要素認証の勝手設定まで行い、本人がログイン不能となる。以後、被害アカウントが投資勧誘等のスパム発信に悪用される事態が生じる。

被害に遭った際の対処

自分でログインできる場合

直ちにパスワードを変更し、アカウントに登録されたメールアドレス・電話番号に不審な書き換えがないか確認する。未設定であれば多要素認証（MFA）を有効化する。

自分ではログインできない場合

各サービスの「パスワードを忘れた」等の手続きで復旧を試みる。登録メールや電話番号が使えるなら復旧可能性がある。復旧できない場合はヘルプページ等の案内に従い、サービス提供者へ連絡する。Instagram、Facebook、Googleの復旧関連ページが参考として挙がっている。

日頃の対策（個人ユーザー向け）

1) パスワードは長く・複雑に・使い回さない

IPAは、できるだけ長く複雑で使い回さないパスワードを推奨している。作成・管理の一例として「コアパスワード」の考え方が紹介されている。

2) 多要素認証（MFA）を有効化する

記憶情報・所持情報・生体情報のうち2要素以上を用いるMFAを設定する。ID・パスワードが漏れても、それだけではログインされないため有効である。

3) フィッシング／マルウェアに注意する

疑わしいメールやSMSは削除する（URLや添付を開かない）。URLを開いたのみで入力等をしていないなら、通常は被害は発生しない。真偽に迷う場合は、メッセージ内の連絡先を使わず、公式サイトや公式アプリから確認する。入力してしまった情報は直ちに変更し、クレジットカード情報を入力した場合はカード会社へ相談する。

4) パスキーの利用を検討する

生体認証や端末ロックでログインできるパスキーを推奨する（サービス側の対応が必要）。速く・簡単・安全な認証方式として案内されている。

出典：IPA　インターネットサービスへの不正ログインによる被害が増加中