Redditで見知らぬ人物から届くダイレクトメッセージが、返信を促してきます。返信させること自体が狙いです。この手口はマルウェアも悪意あるリンクも使わないソーシャルエンジニアリングによるもので、Reddit、Discord、および類似のプラットフォームに広がっています。攻撃者が求めるのはたった一つの情報、すなわちログインコードや認証コードです。これを入手すれば、アカウントを乗っ取ることができます。

「会話は大抵、2つの主張のどちらかから始まります。相手のアカウントが通報されて、それがあなたによるものだったようだ、と言う場合もあれば、自分が誤ってあなたのアカウントを通報してしまった、と言う場合もあります。こちらが否定しても、詐欺師は言い争いません。おそらく単純な間違いだったのだろうと言って、会話を続けようとします。誰が通報したか知っているか尋ねてきたり、誤解を解く手伝いができると持ちかけてきたりもします。狙いは、とにかく会話を続けさせることです」と、MalwarebytesのシニアマルウェアリサーチエンジニアであるStefan Dasic氏は説明しています。
偽の「証拠」
そして「証拠」が提示されます。詐欺師は、Redditの公式連絡を装ったメールのスクリーンショットを送りつけてきます。そこには堅苦しい文面、チケット番号、「正式な調査」に関する記述、そして通常12時間という「アカウント停止、機能制限、またはBAN」までのカウントダウンが記載されています。バージョンによっては、Redditの従業員やモデレーターを装ったDiscordの連絡先に誘導するものもあります。また、状況とは無関係な法律を引き合いに出した偽の法的警告を付け加えるパターンもあります。
アカウント停止や機能制限、BANといった脅し文句とセットになったこの手口は、被害者に冷静に考え直す余裕を与えず、急いで行動させるよう仕向けます。
認証コードが送られてくる瞬間
通報の話と偽メールは、ある一つの要求を切り出すための下準備にすぎません。詐欺師は、あなたが今回の件に関与していないことを確認するためにRedditの従業員あるいは「上長」による本人確認が必要だと告げ、その確認とは、これからRedditから届くコードを読み上げることだと説明します。
この会話の最中、詐欺師はあなたのアカウントにログインを試みるか、アカウント復旧手続きを開始します。それを受けてRedditは、ログインコードまたは認証コードを本人であるあなた宛てに送信します。そのタイミングは筋書き通りで、コードは「これから届く」と告げられた直後に届きます。それを声に出して伝えてしまうと、詐欺師はそのコードを使ってあなたのアカウントにログインし、パスワードを変更して、あなたをアカウントから締め出してしまいます。
さらに踏み込んだ手口を使うケースもあります。被害者が言いくるめられ、アカウントに紐づくメールアドレスを詐欺師が所有するものに変更させられてしまうのです。その後にはギフトカードやその他の支払いの要求が続き、支払わなければアカウントを削除する、あるいは他人への攻撃に悪用すると脅されます。
Redditにおける通報の実際の処理方法
Redditは通報、モデレーション、異議申し立てをすべて自社のシステム内で処理しています。通報の対象となった当事者同士が互いに連絡を取るよう求められることは決してありません。ダイレクトメッセージで見知らぬ相手からアカウントの確認を求められることは、そのプロセスには一切含まれません。異議申し立てはRedditを通じて行われるものであり、スタッフの個人的なDiscordアカウントを経由することはありません。こうした正規の窓口を外れた要求は、すべて詐欺だと考えてください。
アカウントを守るための対策
いくつかの習慣を身につけるだけで、この手口を防ぐことができます。ログインコードや認証コードは、たとえRedditのスタッフを名乗る相手であっても、誰にも教えないでください。見知らぬ相手からアカウントのメールアドレス変更を求められても、決して応じないでください。通報の解決のためにギフトカードや金銭を要求された場合は、それを詐欺の証拠だと捉えてください。認証アプリを使った二要素認証を有効にし、身に覚えのないログインコードが届いた場合は、誰かが不正アクセスを試みているサインだと認識してください。アカウントへのアクセスを失った場合は、reddit.comの公式アカウント復旧手続きを利用し、新しいパスワードを設定した上で、Reddit標準の通報ツールから報告してください。
翻訳元: https://www.helpnetsecurity.com/2026/07/09/reddit-false-report-scam-direct-message/