【Instagram】パスワードを無断送信する非公式アプリが再登場

（© 2015 Instagram, LLC.）

昨年11月にApp Store・Google Playから削除された『Instagram』の非公式の外部アプリと同じ開発者が、またしても外部アプリを公開していたことが判明しました。

アカウント乗っ取りの恐れも

今回見つかった2つのアプリ『Who Cares With Me – InstaDetector』と『InstaCare – Who cares with me?』は、Instagramへのアクセスに必要として、InstagramのユーザーIDとパスワードの入力を求めます。

この際に入力した情報をアプリが記録し、外部の不審なサーバーに無断で送信します。

これらの情報はInstagramのアカウント乗っ取りや、同じパスワードを使いまわしている他のウェブサービスへの不正アクセスに使われる恐れがあります。

2つのアプリは日本のApp Storeでは入手できないものの、海外のApp Storeでは現在も公開されています。

使ったことがある場合の対策

問題のアプリを1度でも使ったことがある方は、以下の対策を行ってください。

• アプリを削除する
• Instagramのアプリ連携を確認し、連携を許可している場合は取り消す
• Instagramのパスワードをまったく新しいものに変える
• パスワードを使い回している場合、ほかのウェブサービスのパスワードもそれぞれ新しいものに変える

非公式アプリの注意点

こうしたユーザーID・パスワードを盗むアプリは、今後もApp Store・Google Playに登場する可能性があります。

Instagramは外部アプリが利用できる機能として、以下の6つしか認めていません。もしこれらとは異なる機能が使えると主張するアプリがあった場合、注意が必要です。

• ユーザーのプロフィール・投稿写真の読み込み
• 公開プロフィール・写真の読み込み
• フォロワー・フォローしているユーザーの読み込み
• コメントの投稿・削除
• アカウントのフォローとフォロー解除
• 「いいね！」を付ける・消す

今回問題となっているアプリは、自分のプロフィールを閲覧した他のInstagramユーザーを調べられるとしていましたが、そうした機能は認められていません。

こちらのページで詳しくご紹介しています。
→ 【Instagram】勝手にフォローしてる! そんな時はココを点検すべし

2要素認証を設定しておくことも大切です。

ログインする際に、InstagramからSMSで送信される確認コードも必要になるので、パスワードが盗まれても不正アクセスを防げる可能性があります。

設定方法はこちらのページでご紹介していますが、まだすべてのユーザーには提供されていないようです。
→ 【Instagram】乗っ取り対策の切り札

参考

Password-Stealing Instagram App ‘InstaAgent’ Reappears in App Store Under New Name – Mac Rumors

・販売元: Instagram, Inc. ・掲載時のDL価格: 無料 ・カテゴリ: 写真／ビデオ ・容量: 24.7 MB ・バージョン: 7.18.1