インターネットサービスへの不正ログインによる被害が増加中情報セキュリティ

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [インターネットサービスへの不正ログインによる被害が増加中 | 情報セキュリティ](https://www.ipa.go.jp/security/anshin/attention/2025/mgdayori20250828.html)【IPA 独立行政法人情報処理推進機構】() --- > [!NOTE] この記事の要約（箇条書き） - インターネットサービスへの不正ログイン被害が2025年7月に過去最高の144件に増加。 - 被害の多くはInstagramやFacebookなどのSNSで、ユーザーがログインできなくなるケースが多い。 - 主な手口は以下の通り： - 単純なパスワードの推測（総当たり攻撃、辞書攻撃） - 漏洩したパスワードの使い回し（リスト型攻撃） - フィッシングサイトによるパスワード詐取 - Instagramの不正ログイン事例では、知人を装ったDMで認証コードを騙し取られ、アカウントを乗っ取られる手口が多発。 - 被害に遭った際の対処法： - ログインできる場合：速やかにパスワード変更、登録情報の確認・修正、多要素認証の設定。 - ログインできない場合：パスワードリセット手続きを試す、サービスのヘルプページを参照、サービス提供者へ連絡。 - 日頃からの対策として以下を推奨： - 長く複雑で使い回さないパスワードの設定（コアパスワード方式を推奨）。 - 多要素認証の設定。 - フィッシングやマルウェアへの注意（疑わしいメール・SMSは削除、リンクはクリックしない、情報を入力してしまった場合は速やかに変更・相談）。 - パスキー（生体認証やデバイスのロック解除機能）の利用を推奨（サービス側の対応が必要）。 > [!NOTE] 要約おわり --- 情報セキュリティ ![](https://www.ipa.go.jp/common/img/security/security_mv_sp.png) ## インターネットサービスへの不正ログインによる被害が増加中公開日：2025年8月28日独立行政法人情報処理推進機構セキュリティセンター - ![安心相談窓口だより](https://www.ipa.go.jp/security/anshin/attention/2025/j5u9nn0000002seo-img/j5u9nn0000002ski.png) インターネットサービスへの不正ログインによる被害が増加中 \- パスキー認証や多要素認証の設定を行いましょう - ## 目次 ## 1\. はじめに不正ログインとは、各種インターネットサービス（SNS、ショッピングサイト、ネットバンキング、クラウドサービス等）のアカウントにおいて、第三者に自分のIDおよびパスワードを不正使用され、自分のインターネットサービス（以下、「サービス」と表記します）へ不正にログインされる手口です。 IPA情報セキュリティ安心相談窓口には不正ログインに関する相談が多く寄せられており、2025年7月はこれまでで最も多い144件の相談が寄せられました。（図1）。内容としては、Instagram、Facebookなどのサービスに不正ログインされ、自分ではログインできなくなったという相談が多く寄せられています。 - ![](https://www.ipa.go.jp/security/anshin/attention/2025/j5u9nn0000002seo-img/j5u9nn0000002so3.png) 図1：不正ログインに関する相談件数の推移不正ログインの被害にあわないためには、各種サービスを利用するユーザが自分自身で対策を実施することが必須となります。本窓口だよりでは、個人ユーザ向けの各種サービスへの不正ログインの被害にあわないため、手口、対処、対策について説明をいたします。 ## 2\. 手口 ### 2.1. 基本的な手口各種サービス（SNS、ショッピングサイト、ネットバンキング、クラウドサービス等）の多くは、IDおよびパスワードによる本人認証方式が採用されています。しかし、IDおよびパスワードによる本人認証方式では、悪意のある第三者にIDおよびパスワードを知られた場合、不正にログインされ、個人情報等が漏えいし、その結果として金銭被害が発生する事例等が確認されています。 - ID・パスワードの漏洩は、主に以下の要因による事例が多いと考えられます。 - 単純なパスワードを推測される - 特定のサービスから漏えいしたパスワードを使われる - フィッシングサイト等に騙されて悪意ある第三者にパスワード等を教えてしまう #### 要因1：単純なパスワードを推測される - すべての文字列の組み合わせを試す「総当たり攻撃」 - パスワードでよく使われる言葉などを集めた専用の辞書を利用する「辞書攻撃」「ログインパスワード」に意味のある単語や、自分に関連の深い語句を使うと、辞書攻撃などによってパスワードを破られる可能性がある。 - ![](https://www.ipa.go.jp/security/anshin/attention/2025/j5u9nn0000002seo-img/j5u9nn0000002ssi.png) 図2：単純なパスワードを推測される手口のイメージ #### 要因2：特定のインターネットサービスから漏えいしたパスワードを使われる - 流出した名簿やIDとパスワードのリストを入力して試す「リスト型攻撃」 - ![](https://www.ipa.go.jp/security/anshin/attention/2025/j5u9nn0000002seo-img/j5u9nn0000002stb.png) 図3: リスト型攻撃のイメージ #### 要因3：フィッシングサイト等に騙されて悪意ある第三者にパスワード等を教えてしまう - 実在のサービスや企業（SNS、ショッピングサイト、ネットバンキング、クラウドサービス等）をかたり、偽のメールやSMS（ショートメッセージ）へ記載したURLから偽サイトへ誘導し、IDやパスワードなどを入力させることで情報を盗む。 - ![](https://www.ipa.go.jp/security/anshin/attention/2025/j5u9nn0000002seo-img/j5u9nn0000002stz.png) 図4:ネットバンキングのフィッシングのイメージ ### 2.2. ご相談の多い手口（インスタグラムへの不正ログイン事例） - IPA情報セキュリティ安心相談窓口には、以下の手口によるインスタグラムへの不正ログインのご相談が多く寄せられています。 1. インスタグラム上の知り合いに成りすました攻撃者から投票依頼などのDM（Direct Message）が届き、やり取りする過程で電話番号を教えてしまう(DMを送ってきた知り合いのアカウントは既に不正ログイン被害にあっている) 2. SMSで認証コードが届き、その認証コードをDM の送り主（攻撃者）に教えてしまう 3. 攻撃者により認証コードを使って不正ログインされ、パスワードを変更されてしまう（登録している電話番号やメールアドレスを変更され、多要素認証を設定されてしまう） 4. 自分のインスタグラムのアカウントにログインできなくなり、パスワードリセットもできなくなる 5. その後、自分のアカウントを悪用されて、投資などの勧誘をするDM 送信や投稿をされる - ![](https://www.ipa.go.jp/security/anshin/attention/2025/j5u9nn0000002seo-img/j5u9nn0000002svd.png) 図5：インスタグラムへの不正ログインの流れ ## 3\. 被害にあった際の対処不正ログインの被害にあった場合は、以下の状況にあわせて必要な対処を実施してください。 ### 3.1. 自分でログインできる場合速やかに「ログインパスワードの変更」を行ってください。ログインパスワードを変更できた場合は、アカウントの登録情報（メールアドレスや電話番号）を確認し、ご自分のものではない情報があれば直ちに削除し、正しい自分の情報だけにしてください。また、多要素認証の設定をしていない場合は、設定することを推奨します。 ### 3.2. 自分ではログインできない場合多くのサービスでは、\[パスワードを忘れた\]などの手続き画面からパスワードのリセットを行うことが出来ます。アカウントに登録したメールアドレスや電話番号を利用できる場合はこの方法でアカウントを取り戻せる可能性があります。 - また、不正ログインをした第三者により、パスワードを変更されてしまうと、自分ではアカウントにログインができなくなってしまいます。その場合も、各サービスのヘルプページなどを参照し対処をしてください。 - [Instagram：ログインできない場合別ウィンドウで開く](https://help.instagram.com/374546259294234) - [Facebook：アカウントを復旧する別ウィンドウで開く](https://www.facebook.com/help/283100488694834) - [Google：Google アカウントにログインできない別ウィンドウで開く](https://support.google.com/accounts/troubleshooter/2402620) - どうしてもログインできない場合は、サービス提供者へ連絡し相談するしか解決方法がありません。特に、無料のサービスなどでは、電話での受付窓口が存在しないサービスが多いです。電話相談ができない場合は、ヘルプページなどからウェブフォーム経由で相談することになります。 - [Instagram：Instagramアカウントが不正アクセスされたと思われる場合別ウィンドウで開く](https://help.instagram.com/149494825257596) - [Facebook：不正アクセスされたアカウントを復旧する別ウィンドウで開く](https://www.facebook.com/help/1216349518398524/) - [Google：ハッキングまたは不正使用された Google アカウントを保護する別ウィンドウで開く](https://support.google.com/accounts/answer/6294825) ## 4\. 日頃の対策 ### 4.1. パスワードは長く複雑にして使いまわさない IPAではパスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものとすることを推奨しています。 - パスワード作成・管理方法の1つとして、「コアパスワード」を使った方法を紹介します。具体的な方法については下記ページを参考にして、安全なパスワードの作成・管理を実施してください。 - [不正ログイン被害の原因となるパスワードの使い回しはNG](https://www.ipa.go.jp/security/anshin/attention/2016/mgdayori20160803.html) ### 4.2. 多要素認証の設定をする各種サービスにおける不正ログイン対策として、認証を複数の要素（記憶情報、所持情報、生体情報のうち2つ以上）を用いて行う方式「多要素認証」（脚注1）が提供されていますので、設定することを推奨します - 「多要素認証」を設定している場合、仮にIDおよびパスワードを不正に利用されても、それだけではログインできないことから、不正ログイン防止に効果があります。 - [関連情報：不正ログイン対策特集ページ](https://www.ipa.go.jp/security/anshin/measures/account_security.html) ### 4.3. フィッシングやマルウェアに注意フィッシングとは、実在のサービスや企業をかたり、偽のメールやSMSで偽サイトへ誘導し、IDやパスワードなどの情報を盗む手口です。情報を盗まれると、アカウントに不正にログインされ金銭被害にあうことがあります。また、マルウェアに感染してしまうと、パソコンやスマートフォンに登録された情報を盗まれたり、自分のスマートフォンがフィッシングSMSの発信源になってしまうこともあります。対処： 1. 受け取ったメールやSMSは削除する - フィッシングのメールやSMSを開いただけでは被害は発生しませんので、削除するだけで問題ありません。 (疑わしいメールのURLや添付ファイルはクリックしない) - フィッシングのメールやSMSの本文中のURLからフィッシングサイトにアクセスした場合でも、そのサイトで情報の入力やアプリのインストール等の操作をしていなければ、基本的に被害は発生しません。 - 差出人アドレスや文面からの判断が困難で本物かどうか迷った場合には、メールやSMS内のURLや電話番号は使用せず、公式サイトや公式アプリから真偽を確認することを推奨します。 2. フィッシングサイトで情報を入力してしまった場合、変更できる情報は変更する - ID・パスワードを入力した場合は、速やかにパスワードを変更してください。 - 入力したパスワードを他のサービスでも使っている場合は、同様にパスワード変更を実施してください。 - クレジットカード情報を入力した場合は、速やかにクレジットカード会社に相談してください。 - 被害に遭った場合、入力してしまった情報に関係するサービス提供者に速やかに相談してください。（被害の補償等） 1. フィッシング関連情報： - [警察庁：フィッシング対策別ウィンドウで開く](https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html) - [フィッシング対策協議会：フィッシングとは別ウィンドウで開く](https://www.antiphishing.jp/consumer/abt_phishing.html) ### 4.4. パスキーの利用を推奨パスワードに代わる新たなログイン認証方法として、パスキー（脚注2）の利用を推奨します。利用者のデバイスを問わず、サービスへ、速く、簡単、安全にログインをすることができます。但し、パスキーの利用については、サービス側で対応している必要があります。詳しくは、サービス毎のヘルプページなどでご確認ください。 - パスキー設定例： - [Facebookでパスキーを作成する（Facebook）別ウィンドウで開く](https://www.facebook.com/help/1181045243159511) - [パスワードの代わりにパスキーでログインする（Google）別ウィンドウで開く](https://support.google.com/accounts/answer/13548313?hl=ja) - [Yahoo: どんなログイン方法があるの？ - パスキー（生体認証）別ウィンドウで開く](https://id.yahoo.co.jp/login/login_methods.html) 1. （脚注1）個別のサービス毎に、使われているサービス名称は異なりますが、本質的に「多要素」で認証している方式について、本ページ内では総称として「多要素認証」と表記します。 1. （脚注2）パスキーとは、パスワードの代わりに生体認証（指紋認証や顔認証など）やデバイスのロック解除機能（PINコードなど）を使って、サービスのアカウントにログインする新しい認証方式のことです。パスワードの漏えいリスクが無く、より安全にログインできます。 ## 5\. 参考リンク IPA - [チョコっとプラスパスワード別ウィンドウで開く](https://www.ipa.go.jp/security/chocotto/) - [不正ログイン対策特集ページ](https://www.ipa.go.jp/security/anshin/measures/account_security.html) - [日常における情報セキュリティ対策](https://www.ipa.go.jp/security/anshin/measures/everyday.html) 国家サイバー統括室（NCO） - [インターネットの安全・安心ハンドブック別ウィンドウで開く](https://security-portal.nisc.go.jp/guidance/handbook.html) ## お問い合わせ先 IPAセキュリティセンター情報セキュリティ安心相談窓口 - E-mail - URL [情報セキュリティ安心相談窓口](https://www.ipa.go.jp/security/anshin/about.html) 記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。 ## 更新履歴 - 掲載