こんにちは kloopです。
今回はここ数週間で急激に増えているテレグラムアカウントの乗っ取りについてです。
先に言っておきますが、これはテレグラムのシステム不具合ではありません。
ユーザー側で対策すれば防げる事案ですので、対策をしておきましょう。
乗っ取りの手口は?
効率的に対策を取るためには犯行手口を知る必要があります。
Twitterにて話を聞くと、次のようなパターンのようです。
※送ってくださった方情報ありがとうございました。
- 犯人側が電話番号からログイン試行する
- 日本語で「スクリーンショットを撮って確認してください」とメッセージを送る
- スクリーンショットには、①の認証コードが「チャットプレビュー」に表示されている
- そのままログイン。乗っ取り完了。
乗っ取り完了後、そのアカウントに登録してある連絡先全てに同じ内容を送信します。
つまり、登録してある友達から「スクリーンショットを撮って送ってください」とメッセージが来る訳で、とても警戒しにくく、被害が広がった原因のようです。
【注意喚起】#テレグラム の乗っ取りが増えています。
【犯行手口】
①犯人側が電話番号からログイン試行する
②日本語で「私のようにスクリーンショットを撮って確認してください」とメッセージを送る
③スクリーンショットには、①の認証コードが「チャットプレビュー」に表示されている… https://t.co/Oj0pJbMt80— Telegramジャパン🇯🇵(非公式) (@Telegram_Japan) April 25, 2023
このように“まだ”一見不自然ですが、友達から来ると信じてしまう可能性もありますね。
今後はもっと自然に見える文章に改善してくるのは間違いありません。
乗っ取り対策は?
対策についてです。
もちろんこれで完全に安心ということはありませんが、かなり防げると思います。
- 2段階認証のパスワードを設定する
- 友達からのスクリーンショット送信依頼は受けない
- 電話番号を隠す
この3点は最低限行ってください。
2段階認証のパスワードを設定する
一番重要です。もし登録していない人がいたら必ず設定してください。
「設定」→「セキュリティとプライバシー」から「2段階認証」を選択して、設定を行ってください。
2段階認証がオンになっていればOKです。
これで新しい環境でログインしようとすると「認証コード」を入力した後に、この「パスワード」を入力しないとログインできません。
2段階の認証が行われるためセキュリティが向上します。
ついでですが、このパスワードを忘れた時の復旧用にメールアドレスも設定できるので困る前に登録しておくのも良いですね。
友達からのスクリーンショット送信依頼は受けない
今回の事例に関してはこれに尽きます。こちらでしか見えない情報をわざわざ送ることはそうないです。
スクリーンショットを送らせるために、
「シークレットチャットが出来ているかスクリーンショットを送って」や
「よくわからないからスクリーンショット送って」
だったり他にも今後いろんなバリエーションが増えると思います。
友達からきてもまず警戒してください。お互いしか知らない情報を言って確認するのがベストですね。
電話番号を隠す
電話番号を全体に公開する状態になっていると、自分のIDを公開しているようなものなので良くないです。
こちらの記事を参考に「電話番号を隠す」設定を行ってください。
乗っ取られた場合の対応、通報先は?
まだログインが可能な場合は、すぐに自分の端末以外をログアウトしてください。
「設定」→「端末の設定」
「その他の接続を終了」を選択してください。
これが出来れば、ギリギリセーフです。
ログインもできない場合
乗っ取った側は他の端末でログインしている場合、上記の方法でログアウトしてきます。そのため認証コードが取得できなくなります。
気付くのが遅れた場合はログイン出来ず完全に乗っ取られた状態になります。現状どうしようもありません。。
こうなった場合は、下記の公式テレグラムへ通報し対応をお待ちください。
対応はゆっくりなため、早ければ1日~、遅ければ40日以上かかります。
複数の通報先がありますので、1つに連絡して反応ない場合は他の通報先に連絡してみてください。
いずれも英語での対応になります。
その間にも、アカウントに登録している人達にメッセージが送信され続けていますので、他のSNSで連絡が取れる場合は乗っ取られた事を伝えてください。
復旧までしばらく時間がかかるので新たにアカウントを作るのもありです。
まとめ
LINEでもこういった事は定期的に起こりますが、日本ユーザーの少ないテレグラムでの攻撃は厄介ですね。。
- アカウントの乗っ取り手口は割とアナログ手法
- 2段階認証をかければ、ほとんど防げる
- 乗っ取られた場合公式運営に対応なので自衛が大事
気を抜いた時にアカウント乗っ取りは来ます。これはTwitterやLINE、テレグラム全てのSNSに共通です。
最低限「備え」はやっておきましょう。