インターネットサービスへの不正ログインによる被害が増加中

公開日：2025年8月28日

独立行政法人情報処理推進機構
セキュリティセンター

インターネットサービスへの不正ログインによる被害が増加中
- パスキー認証や多要素認証の設定を行いましょう -

1. はじめに

不正ログインとは、各種インターネットサービス（SNS、ショッピングサイト、ネットバンキング、クラウドサービス等）のアカウントにおいて、第三者に自分のIDおよびパスワードを不正使用され、自分のインターネットサービス（以下、「サービス」と表記します）へ不正にログインされる手口です。

IPA情報セキュリティ安心相談窓口には不正ログインに関する相談が多く寄せられており、2025年7月はこれまでで最も多い144件の相談が寄せられました。（図1）。内容としては、Instagram、Facebookなどのサービスに不正ログインされ、自分ではログインできなくなったという相談が多く寄せられています。

図1：不正ログインに関する相談件数の推移

不正ログインの被害にあわないためには、各種サービスを利用するユーザが自分自身で対策を実施することが必須となります。
本窓口だよりでは、個人ユーザ向けの各種サービスへの不正ログインの被害にあわないため、手口、対処、対策について説明をいたします。

2. 手口

2.1. 基本的な手口

各種サービス（SNS、ショッピングサイト、ネットバンキング、クラウドサービス等）の多くは、IDおよびパスワードによる本人認証方式が採用されています。
しかし、IDおよびパスワードによる本人認証方式では、悪意のある第三者にIDおよびパスワードを知られた場合、不正にログインされ、個人情報等が漏えいし、その結果として金銭被害が発生する事例等が確認されています。

ID・パスワードの漏洩は、主に以下の要因による事例が多いと考えられます。
- 単純なパスワードを推測される
- 特定のサービスから漏えいしたパスワードを使われる
- フィッシングサイト等に騙されて悪意ある第三者にパスワード等を教えてしまう

要因1：単純なパスワードを推測される

すべての文字列の組み合わせを試す「総当たり攻撃」
パスワードでよく使われる言葉などを集めた専用の辞書を利用する「辞書攻撃」

「ログインパスワード」に意味のある単語や、自分に関連の深い語句を使うと、辞書攻撃などによってパスワードを破られる可能性がある。

図2：単純なパスワードを推測される手口のイメージ

要因2：特定のインターネットサービスから漏えいしたパスワードを使われる

流出した名簿やIDとパスワードのリストを入力して試す「リスト型攻撃」

図3: リスト型攻撃のイメージ

要因3：フィッシングサイト等に騙されて悪意ある第三者にパスワード等を教えてしまう

実在のサービスや企業（SNS、ショッピングサイト、ネットバンキング、クラウドサービス等）をかたり、偽のメールやSMS（ショートメッセージ）へ記載したURLから偽サイトへ誘導し、IDやパスワードなどを入力させることで情報を盗む。

図4:ネットバンキングのフィッシングのイメージ

2.2. ご相談の多い手口（インスタグラムへの不正ログイン事例）

IPA情報セキュリティ安心相談窓口には、以下の手口によるインスタグラムへの不正ログインのご相談が多く寄せられています。
1. インスタグラム上の知り合いに成りすました攻撃者から投票依頼などのDM（Direct Message）が届き、やり取りする過程で電話番号を教えてしまう(DMを送ってきた知り合いのアカウントは既に不正ログイン被害にあっている)
2. SMSで認証コードが届き、その認証コードをDM の送り主（攻撃者）に教えてしまう
3. 攻撃者により認証コードを使って不正ログインされ、パスワードを変更されてしまう（登録している電話番号やメールアドレスを変更され、多要素認証を設定されてしまう）
4. 自分のインスタグラムのアカウントにログインできなくなり、パスワードリセットもできなくなる
5. その後、自分のアカウントを悪用されて、投資などの勧誘をするDM 送信や投稿をされる

図5：インスタグラムへの不正ログインの流れ

3. 被害にあった際の対処

不正ログインの被害にあった場合は、以下の状況にあわせて必要な対処を実施してください。

3.1. 自分でログインできる場合

速やかに「ログインパスワードの変更」を行ってください。ログインパスワードを変更できた場合は、アカウントの登録情報（メールアドレスや電話番号）を確認し、ご自分のものではない情報があれば直ちに削除し、正しい自分の情報だけにしてください。また、多要素認証の設定をしていない場合は、設定することを推奨します。

3.2. 自分ではログインできない場合

多くのサービスでは、[パスワードを忘れた]などの手続き画面からパスワードのリセットを行うことが出来ます。アカウントに登録したメールアドレスや電話番号を利用できる場合はこの方法でアカウントを取り戻せる可能性があります。

また、不正ログインをした第三者により、パスワードを変更されてしまうと、自分ではアカウントにログインができなくなってしまいます。その場合も、各サービスのヘルプページなどを参照し対処をしてください。

どうしてもログインできない場合は、サービス提供者へ連絡し相談するしか解決方法がありません。特に、無料のサービスなどでは、電話での受付窓口が存在しないサービスが多いです。電話相談ができない場合は、ヘルプページなどからウェブフォーム経由で相談することになります。

4. 日頃の対策

4.1. パスワードは長く複雑にして使いまわさない

IPAではパスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものとすることを推奨しています。

パスワード作成・管理方法の1つとして、「コアパスワード」を使った方法を紹介します。具体的な方法については下記ページを参考にして、安全なパスワードの作成・管理を実施してください。
- 不正ログイン被害の原因となるパスワードの使い回しはNG

4.2. 多要素認証の設定をする

各種サービスにおける不正ログイン対策として、認証を複数の要素（記憶情報、所持情報、生体情報のうち2つ以上）を用いて行う方式「多要素認証」（脚注1）が提供されていますので、設定することを推奨します

「多要素認証」を設定している場合、仮にIDおよびパスワードを不正に利用されても、それだけではログインできないことから、不正ログイン防止に効果があります。
- 関連情報：不正ログイン対策特集ページ

4.3. フィッシングやマルウェアに注意

フィッシングとは、実在のサービスや企業をかたり、偽のメールやSMSで偽サイトへ誘導し、IDやパスワードなどの情報を盗む手口です。
情報を盗まれると、アカウントに不正にログインされ金銭被害にあうことがあります。
また、マルウェアに感染してしまうと、パソコンやスマートフォンに登録された情報を盗まれたり、自分のスマートフォンがフィッシングSMSの発信源になってしまうこともあります。

対処：

受け取ったメールやSMSは削除する
- フィッシングのメールやSMSを開いただけでは被害は発生しませんので、削除するだけで問題ありません。
  (疑わしいメールのURLや添付ファイルはクリックしない)
- フィッシングのメールやSMSの本文中のURLからフィッシングサイトにアクセスした場合でも、そのサイトで情報の入力やアプリのインストール等の操作をしていなければ、基本的に被害は発生しません。
- 差出人アドレスや文面からの判断が困難で本物かどうか迷った場合には、メールやSMS内のURLや電話番号は使用せず、公式サイトや公式アプリから真偽を確認することを推奨します。
フィッシングサイトで情報を入力してしまった場合、変更できる情報は変更する
- ID・パスワードを入力した場合は、速やかにパスワードを変更してください。
- 入力したパスワードを他のサービスでも使っている場合は、同様にパスワード変更を実施してください。
- クレジットカード情報を入力した場合は、速やかにクレジットカード会社に相談してください。
- 被害に遭った場合、入力してしまった情報に関係するサービス提供者に速やかに相談してください。（被害の補償等）

フィッシング関連情報：
- 警察庁：フィッシング対策
- フィッシング対策協議会：フィッシングとは

4.4. パスキーの利用を推奨

パスワードに代わる新たなログイン認証方法として、パスキー（脚注2）の利用を推奨します。
利用者のデバイスを問わず、サービスへ、速く、簡単、安全にログインをすることができます。
但し、パスキーの利用については、サービス側で対応している必要があります。詳しくは、サービス毎のヘルプページなどでご確認ください。