近年、SNSは個人利用に留まらず、多くの著名人や企業による活用が進み、SNSの影響が年々大きくなっています。一方で、SNSアカウントの乗っ取り被害も発生しており、著名人のInstagramや、企業の公式Twitterなど影響力の大きいアカウントの被害も度々報告されています。そのため、企業担当者にとって乗っ取りの予防や対策は必須となっています。本記事では、SNSアカウントの乗っ取りの手口や対策などを紹介します。
乗っ取りとは?乗っ取られた際の影響は?
「乗っ取り」とは、第三者が他人のSNSアカウントを不正な手段で利用することを指します。
アカウントが乗っ取られると以下のような事象が起きるおそれがあります。
・本人がSNSアカウントにログインできなくなる
アカウントのログインに必要な情報を手に入れた第三者が、勝手にパスワードを変更して本人がログインできなくなるケースがあります。この場合は、すぐにアカウントを取り戻すのに時間がかかるため、その間に乗っ取られたアカウントを悪用される可能性が高くなります。
・第三者が本人のなりすましで活動する
アカウントを乗っ取った第三者が、アカウント所有者本人になりすまして他人にメッセージを送付したり、勝手に投稿を行う可能性があります。本人になりすまして他人から個人情報を入手し、その個人情報を悪用するおそれもあり、知らないうちに他人に被害を与えてしまうことも考えられます。
また、乗っ取った第三者は入手したパスワードで他のSNSアカウントとSaaSサービスの不正ログインを試みる手口もあります。場合によっては、Amazonのようにクレジットカードの登録されたサービスに不正アクセスされてしまう可能性もあります。
巧妙な乗っ取りの手口
我々のログイン情報は、どのような手口で盗まれてしまうのでしょうか。
・プラットフォームに対するサイバー攻撃
ハッカーによる大手SNSや通販サイトに対するサイバー攻撃が、個人情報漏えいのリスクのひとつとなることがあります。
2013年には、食品製造を営む会社のホームページ会員向けサーバーが不正アクセスを受ける事件がありました。このサーバーには約47万人分の会員の個人情報が保存されており、個人情報が改ざんされていることも判明しました。2018年にもFacebookが約5000万人分の利用者に影響を与えるサイバー攻撃を受けていたことが明らかになりました。
・フィッシング詐欺
「フィッシング詐欺」とは、偽のメールやWebサイトから個人情報やアカウント情報を盗み出す行為を指します。たとえば、「会員登録している通販サイトのアカウントがロックされました」というメールを送りつけ、偽のログイン画面へ誘導したり、大手検索エンジンのサイトを装い、偽のログイン画面にパスワードを入力させるケースがあります。
最近は本物のWebサイトと比較しても区別が難しいレベルの偽装を行う手口も増えているため、特に注意が必要です。
・ソーシャルエンジニアリング
「ソーシャルエンジニアリング」とは、情報通信技術を使用せずにパスワードなどログインに必要な情報を入手する方法です。カフェや外出先での電話から重要情報を入手する「盗み聞き」や、パスワードなどのログイン情報を入力している様子を肩越しに覗き見て情報を入手する「ショルダーハッキング」などがソーシャルエンジニアリングに該当します。
人間の行動のミスや油断につけ込んで情報を入手する一見アナログな手法ですが、過去にはTwitter社がパスワードを聞き出すソーシャルエンジニアリング攻撃の標的にされ、有名人のTwitterアカウントをはじめ、多くのアカウントが乗っ取られるまで被害が発展した手法でもあります。
ソーシャルエンジニアリングについては次の記事にも詳しい説明があります。
⇒SNSリスク対策はどうやればいい?SNSリスクの基礎知識と対策を知りたい方はこちら
SNSアカウントが乗っ取られた事例
事例1:ゆるキャラの公式Twitterの乗っ取り
あるゆるキャラのTwitterアカウントが乗っ取り被害に遭うという出来事が起きました。
運営は新しいアカウントを作成することで対処しましたが、乗っ取られた日に偽アカウントも作成されたことで、一時的に「乗っ取られたアカウント」、「偽のアカウント」、「新しいアカウント」の3つが乱立する状態になりました。元々ファンも多かったゆるキャラで、ユーザーを混乱させてしまう結果となりました。
事例2:「診断アプリ」を使ったFacebookアカウントの乗っ取り
SNS上で友人が診断アプリの結果を掲載していることを見たことがあると思います。
実は、診断アプリを利用する際にSNSと連携したことでアカウントを乗っ取られる事例が相次いでいます。たとえば、Facebookと診断アプリを連携するとき、診断アプリに対して「タイムラインの投稿」といった診断に必要な情報以外のものを知らないうちに許可していることがあり、こうしたアプリの連携から、勝手に広告を投稿されたり、偽の通販サイトに誘導するリンクが貼られてしまうことがあります。
このような乗っ取りは他の利用者にも被害が広がるリスクがあります。
事例3:乗っ取ったアカウントで友人になりすましプリペイドカードを要求
乗っ取られたSNSアカウントから、なりすましのメッセージが送られて、金銭的な被害が出るケースもあります。
ある事例では、友人のLINEアカウントから突然、“近くのコンビニでbitcashのポイントカードを買ってくれる? 5枚 10万円”と言った内容が送信され、プリペイドカードを要求されることがあったようです。そのような場合は、まず友人本人に連絡を入れて、アカウントが乗っ取られていないかを確認することをおすすめします。
また、乗っ取られた原因は、パスワードが解除されてしまったことのようです。本人の誕生日という推測されやすいものが直接的な原因と考えられますが、使い回しのパスワードなどを使用されている方は要注意です。
アカウントを乗っ取られないための予防法
これらの被害に遭わないために、SNSの乗っ取りを未然に防ぐ方法をご紹介します。
・アカウントの管理を適切に行う
IDやパスワードを使いまわすことは、乗っ取りの危険性を高め、被害も大きくする可能性があります。
パスワードの自動生成ツールを活用するなど、推測されにくいパスワードを利用することをお勧めます。また、そのようなパスワードの管理方法ですが、信頼できるパスワード管理ツールを活用するなど、管理しているものからの情報漏えいが起きないように配慮する必要もあります。
・不用意にアプリ連携を行わない
先ほどの事例でご紹介したとおり、FacebookやTwitter、Instagramの場合は、不用意に他のサイトとの連携は行わないようにしましょう。連携する際は、自分の情報がどれだけ相手にわたるのかを確認しましょう。
乗っ取られた際の対処法
次に、アカウントを乗っ取られてしまった場合の対処法についてご紹介します。
ログインできる場合
1. 不審な投稿を削除する
被害がさらに拡大することを防ぐため第三者の悪意のもとに書き込まれた投稿を削除しましょう。
2. パスワードを変更する
第三者がアカウントを不正にログインするのを遮断するためにパスワードを変更しましょう。
3. アプリの連携を解除する
SNSの設定から他のアプリとの連携を確認し、不審なアプリはすべて連携を解除しましょう。
ログインできない場合
1. 各SNSのサポートページに問い合わせる
アカウントが第三者によって乗っ取られている旨をサポートページやメールで連絡しましょう。
2. 消費者庁の国民生活センターに相談する
各SNSからのサポートが十分でない場合、国民生活センターのホットラインに相談してみましょう。
3. カード会社に連絡する
アカウント情報とクレジットカードが紐付いている場合は、不正に利用されていないか確かめるため、カード会社に連絡しましょう。
身近な乗っ取りを遠ざけるために
アカウント乗っ取りは、自分自身に被害が及ぶだけでなく、周りの利用者にも被害を与える危険性があります。だからこそ、乗っ取りを未然に防ぐ手立てを講じることが非常に重要です。
すでにSNSを運用されている方は、未然に防ぐ方法とあわせて、万が一乗っ取られた際の対処をあらかじめ準備しておくことも大切です。
デジタルリスクラボ編集部
デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら。
