Incident Playbook · v1.2

SNS Account Takeover · Response Playbook

SNSアカウント乗っ取り
対応手順書

「友人を装って確認コードを聞き出し、WhatsApp経由で二段階認証を乗っ取る」連鎖型の手口に対する、初動から復旧・再発防止までの実践手順。Instagram / Facebook / WhatsApp の連携乗っ取りを想定し、スマホ・PCの両操作に対応しています。

対象: Instagram / Facebook / WhatsApp 対応端末: スマホ・PC 両対応 形式: 印刷・PDF化 可

はじめに ── 4つの鉄則

THE NON-NEGOTIABLE RULES

  1. 確認コードは、誰にも、絶対に教えない。 正規のサービスも本物の友人も、コードを「送って」と頼むことは一切ありません。要求された時点で100%詐欺です。
  2. 急かす連絡ほど疑う。「スマホが壊れた」「すぐコードが必要」は典型的な誘導です。別の連絡手段で本人に確認するまで動かない。
  3. ログインできているうちに動く。 完全に締め出される前が勝負。気づいた直後の初動が復旧率を大きく左右します。
  4. パスワードより先に「登録メール」を守る。 復旧コードはメールに届きます。メールが奪われていると全部が崩れます。
01

この手口の仕組み

この乗っ取りは 1人を落とすと、その友人へ次々に連鎖する 構造を持っています。あなたに届いた「コード送って」のメッセージは、すでに乗っ取られた友人のアカウントから自動的に送られているものです。

① 友人 すでに乗っ取られ済み ② あなた 「電話番号教えて/ コード送って」が届く ③ あなたの アカウント乗っ取り コードを渡した瞬間 なりすまし コード窃取 あなたの友人リストへ同じ攻撃が拡散(連鎖)
FIG.1 ── 連鎖型乗っ取りの流れ

さらに近年は、確認コードの送信先をWhatsAppに切り替える手口が増えています。攻撃者はあなたのInstagramの二段階認証(2FA)を自分のWhatsAppに向けることで、あなたがパスワードを直しても2FAを外せない「固められた」状態を作ります。本手順書の STEP 4〜5 はこの解除に対応しています。

実例の再現 ── Reconstructed from a real case

FIG.1b ── 実際に届いた誘導メッセージの再現(顔写真・氏名・電話番号は含みません。文面のみを忠実に再現)
!この会話のどこが危険か

「アンバサダーに投票して」→「電話番号を教えて」→「確認コードを送る」という流れは、あなたのアカウントにパスワードリセットを仕掛け、届いたコードを横取りする典型手口です。投票・コインプレゼント・本人確認など名目はさまざまですが、電話番号や確認コードを求められた時点で100%詐欺(鉄則①)。不在着信や「今すぐ」という急かし(鉄則②)も常套手段です。

02

乗っ取りのサイン

次のいずれかに心当たりがあれば、本手順の初動に進んでください。

03

緊急対応 判断チャート

まず「自分でログインできるか」「連絡先(メール・電話)が自分のままか」で進む道が分かれます。下の図で自分の位置を確認してから、該当する手順へ進んでください。

乗っ取りに気づいた 自分でlog in できる? YES 緊急ロックダウン STEP 1 → 7 NO メール・電話は まだ自分のもの? YES PW再設定でlog in → ロックダウンへ NO 公式復旧フローへ(STEP 8) /hacked → セルフィー動画・友人承認
FIG.2 ── どの手順に進むかの判断チャート
04

詳細手順(スマホ・PC両対応)

各ステップに「📱 スマホ操作」「💻 PC操作(ブラウザ)」の導線を併記しています。チップは タップ/クリックの順序 を表します。基本はこの番号順に進めてください。

STEP01

登録メールを先に守る

最優先 · 所要 2分

SNSの復旧コードはすべて登録メールに届きます。メール(Gmail等)が乗っ取られていると後の手順がすべて無効化されるため、一番先にメールのパスワード変更と2FAを済ませます。

  • メールサービスにログインし、パスワードを変更
  • メール側の二段階認証を有効化
  • メールの「最近のアクティビティ」で不審なアクセスを確認
STEP02

パスワードを変更する

コード不要でできる · 相手を締め出す最初の一手

パスワード変更は2FAコードがなくても、現在のパスワードだけで実行できることがほとんどです。これで相手は新パスワードを知らず、新規ログインができなくなります。

📱スマホ操作(Instagram)
プロフィール ≡ メニュー 設定とプライバシー アカウントセンター パスワードとセキュリティ パスワードを変更
💻PC操作(ブラウザ)
accountscenter.instagram.com パスワードとセキュリティ パスワードを変更 対象アカウントを選択
!注意

2FAが相手のWhatsApp等に向いている場合、今のログインセッションは切らないこと。ログアウトすると再ログイン時のコードが相手に届き、自分も入れなくなります。

STEP03

不審なセッションを全ログアウト

2FAだけでは追い出せない「居座り」を切る

2FAは新規ログインを止めるだけで、すでにログイン中の相手は残ります。「ログインの場所」で相手の端末を強制ログアウトします。

📱スマホ操作
アカウントセンター パスワードとセキュリティ ログインの場所 不審な端末を選択 ログアウト
💻PC操作
アカウントセンター パスワードとセキュリティ ログインの場所 …→ ログアウト
  • 知らない地域・日時・端末名のものを優先的にログアウト
  • 判断が付かなければ「全てログアウト」で問題なし(自分は入り直すだけ)
STEP04

WhatsApp を取り返して固める

2FAの送信先がWhatsAppに変えられている場合

2FAコードが相手のWhatsAppに飛んで外せない時は、まずWhatsAppを自分の管理下に取り戻し、6桁PINで固定します。取り返しは、自分の電話番号での再登録、または連携済みのFacebookアカウントでの承認で行えます。

  • 取り返し後、まず「リンク済みデバイス」を確認(一覧が空=他端末の接続なし=正常)
  • 続けてWhatsApp側の二段階認証(6桁PIN)を設定し、再奪取を防ぐ
📱スマホ・リンク済みデバイス確認
WhatsApp ⋮ / 設定 リンク済みデバイス
🔒WhatsApp 6桁PIN設定
設定 アカウント 二段階認証 オンにする → PIN → 復旧用メール登録
ポイント

同じ番号のWhatsAppは1台でしか本登録できないため、取り返した時点で相手は自動的に弾き出されています。リンク済みデバイスが空でも正常です。

▸ 相手がPINを設定していて再登録できない場合

SMS認証(番号の所有確認)は通るのに、その先の6桁PINで止められるのは、相手が回復阻止のためにWhatsApp側の二段階認証PINを勝手に設定したサインです。次の2ルートで越えられます。

AルートA ── メールで即リセット

PIN入力画面の「PINをお忘れですか?」をタップ。リンクされたメールが自分のものなら、リセットリンクが即届きます。メール内のリンク→「確認」→新しいPINを設定。
※ 送信先が相手のメール/無しの場合は使えないので、ルートBへ。

BルートB ── 7日待てばPINなしで取り戻せる

メールが使えなくても詰みません。SMSコードは自分の電話番号=自分の端末に届くため、6桁SMSコードを入力して7日待てば、PINなしで再登録できます。相手はあなたの番号のSMSを受け取れないので妨害不可。
手順: 自分の番号を入力 → SMSコード入力 → PINを求められたら「忘れた場合」→(メール不可なら)7日間の待機が開始 → 7日後に同じ番号で再登録するとPIN不要で完了。

!やってはいけないこと

PINを当てずっぽうで連打しない。5回連続で12時間ロック、10回で72時間制限がかかり、待機がさらに延びます。

iInstagramと切り離す

Instagramの2FAをすでに認証アプリ+SMSに付け替え済みなら、相手がWhatsApp PINを握っていてもInstagramには影響しません。Instagram側の2FAから「WhatsApp方式」を削除しておけば、この7日待機の間も安全です。WhatsAppは焦らず取り返せます。

STEP05

2FAを自分のものに付け替える

相手の認証手段を完全に排除する

相手が仕込んだ2FA手段を残さないため、一度すべてオフにしてから、自分の認証アプリで設定し直すのが最も確実です。これにより古いバックアップコードも無効化されます。

📱スマホ操作
アカウントセンター パスワードとセキュリティ 二段階認証 対象アカウント 各方式をオフ → 認証アプリで再設定
💻PC操作
アカウントセンター 二段階認証 認証アプリ(TOTP)を追加
  • 認証アプリ(Google Authenticator等)を主、SMSは予備に
  • WhatsApp方式・相手の電話番号は削除
  • SMS単独運用は避ける(SIMスワップに弱い)
i外せない時の迂回

コード入力画面で「別の方法を試す」を押すと、SMS・メール・バックアップコードなど別手段に切り替えられます。自分のメール・電話が残っていればここから通せます。

STEP06

連絡先・連携の掃除

残された抜け道を塞ぐ
  • 登録メールアドレスが自分のものか(相手のままだと復旧コードが相手へ)
  • 登録電話番号が自分のものか
  • 不審な連携アプリ・連携アカウント(Meta Horizon等)を解除
  • 「認証をスキップする端末(信頼済みデバイス)」に相手の端末が残っていないか
STEP07

バックアップコードを保管

次に備える

2FA再設定で新しく発行されたバックアップコードを、安全な場所に保管します。

  • パスワードマネージャー等に保存
  • カメラロールのスクショ放置・SNSやクラウドへの平文保存はしない
08

ログインできない場合の公式復旧

すでに締め出され、連絡先まで書き換えられている場合は公式の本人確認フローに進みます。ユーザー名(カスタムURL)を覚えていると、メール・電話が変えられてもアカウントを特定できて有利です。

FACEBOOK
facebook.com/hacked
「誰かがアカウントにアクセスした」を選んで案内に従う
 INSTAGRAM
instagram.com/hacked
「ログインできない場合」→ 本人確認へ
09

再発防止チェックリスト

10

周囲への告知テンプレート

乗っ取り中は、あなたの名前で友人へ同じ詐欺が送られます。別の連絡手段(別SNS・電話)で下記を流して被害拡大を防ぎます。

MESSAGE TEMPLATE
【注意】私のアカウントが乗っ取られています。私の名前で「電話番号教えて」「確認コード送って」等のメッセージやリンクが届いても、絶対に反応・返信しないでください。コードを送ると次はあなたが乗っ取られます。現在復旧対応中です。本件は別途この連絡先で本人が直接お知らせしています。