マーケティングやブランディングにおいて、Twitterがひとつの手法として確立してから、影響力の高い著名人や企業の公式アカウントが狙われることが増えています。アカウントの乗っ取りの結果、身に覚えのない投稿でフォロワーが混乱を与えてしまう危険性もあります。本記事は、そのようなリスクに備えるため、実際にあったTwitterの乗っ取り事例や、もしも乗っ取られたときの確認・対処・対策方法について紹介します。
Twitterの乗っ取り事例
まずは、Twitterの乗っ取り事例を2つ紹介します。
事例1:企業の公式Twitterの乗っ取り
2021年3月、ある企業の公式マークがついたアカウントが乗っ取られました。アカウントのプロフィールが書き換えられた他、「二段階認証もせずにハッキングされたと騒ぐな」とアカウントのセキュリティ対策の設定の甘さをあおるようなツイートなどが投稿されました。
この騒動の要因は、Twitterアカウントの二段階認証を設定してなかったことなどのセキュリティ面でした。結果として、この企業のアカウント管理のセキュリティの甘さ、つまり社内体制の甘い企業であるというイメージを世間に与えてしまう事になりました。
事例2:複数のTwitter乗っ取り
2020年7月アメリカを中心に多数の著名人のTwitter公式アカウントが乗っ取られ、ほぼ同時刻にビットコイン詐欺のツイートが行われました。乗っ取られたアカウントは認証済みの青バッジアカウントで世界中に影響力のある人々、企業のアカウントで大きな混乱が生じました。
また、後の調査の結果、認証アカウントを含む100を超えるアカウントが攻撃対象とされたことがわかっており、攻撃者は複数のアカウントでダイレクトメッセージ(DM)の受信ボックスにアクセスしたことから、ダイレクトメッセージの中身が閲覧された可能性も指摘されており、情報漏えいの可能性も考えられています。
企業アカウントが乗っ取られると起きてしまうリスク
実際にTwitterの企業アカウントが乗っ取られてしまうとどのようなリスクがあるのでしょうか。
運用上のリスク
① ログインできなくなる
乗っ取り犯にパスワードを変更されてしまうと、運営する企業アカウントにログインできなくなります。乗っ取り犯にパスワードを変更されてしまうと、パスワードリセットの手続きが必要になるため、取り戻すのに時間がかかってしまいます。
② 意図しない投稿・データの改ざん
乗っ取られた第三者により、意図しない不適切な投稿を行われてしまう可能性があります。投稿の内容が、関係のない広告や詐欺などの場合、企業の信用に影響することも考えられます。
また、プロフィール欄を勝手に書き換えられる、重要な情報や過去のツイートが削除されるというケースもあるため、フォローしていたファンの混乱を招くことがあります。
乗っ取られた結果生じるリスク
③ 情報漏えい
第三者にログインされた場合、TwitterのDM(ダイレクトメッセージ)の内容が閲覧される恐れがあります。もし、Twitterキャンペーンなどを過去に行っており、DMで個別ユーザーと連絡を取っていた場合、その情報が公開されてしまう恐れがあります。
④ ファン離れ
なりすました第三者がスパムや不適切な投稿を行い、フォローしてくれているファンのタイムライン上にそれらが表示されます。また、DMやコメント機能を利用して、ファンに直接、架空請求や偽造品販売、詐欺、外部サービスの勧誘を促す可能性もあり、その投稿をきっかけにフォローを解除することは十分考えられます。
これらのリスクを踏まえると、Twitterアカウントの乗っ取りによって企業への信頼が失われることは容易に想定できます。さらに、乗っ取られたことが拡散され炎上してしまうと、Twitterで獲得したファンが離れる恐れがあります。
Twitterが乗っ取られているか確認する方法
「Twitterが乗っ取られているかもしれない」と感じた際の確認方法を紹介します。
確認方法① ログインの確認
まずはTwitterにログインできるかを確認しましょう。
Twitterにログインができなくなった場合パスワードの再入力をおこなってください。パスワードが間違っていないのに、ログインできない場合は、Twitterの乗っ取りが疑われます。
確認方法② 身に覚えのない操作の有無
ツイート、フォロー、フォロー解除など心当たりのない操作がされているか確認しましょう。
まず企業アカウントのツイートを確認し、身に覚えのないツイートがないか確認してください。身に覚えのない投稿が(連続で)行われている場合は、乗っ取り被害にあっているとみて間違いありません。ダイレクトメッセージの送信履歴の確認も重要です。
確認方法③ Twitterからの通知
登録しているメールアドレス宛に、Twitterから乗っ取りの可能性や身に覚えのないパスワード変更通知が届いていないか確認しましょう。
Twitterに登録しているメールアドレスに新しい端末からのログイン、アカウントが乗っ取られている可能性を知らせるメールが届いた場合、心当たりがあるものか確認する必要があります。また、社内でアカウント情報の変更をした覚えがないのにアカウント情報変更の通知が来た際も何者かが不正にログインをしてアカウント情報を操作した可能性があります。
万が一乗っ取られたときの対処法
手順① ログインの確認
まずは企業アカウントのTwitterにログインできるかを確認しましょう。
ログインできる場合
ログインできる場合はすぐに「パスワードのリセット」を行いましょう。
パスワードリセットフォームからパスワードリセットメールをリクエストしてください。ユーザー名とメールアドレスの両方を入力してTwitterアカウントに登録されているアドレスでリセットメールを確認してください。
ログインできない場合
上記の手順でログインできない場合は、サポートへ問い合わせを行いましょう。
乗っ取られたTwitterアカウントに登録していたメールアドレスを問い合わせする際に送信することで、詳しい情報と手順が記載されたメールが届きます。その手順に従って対応してください。
企業アカウントに登録されているメールアドレスがわからない場合は、こちらのヘルプページを参考にしてください。
手順② セキュリティの強化
アカウントを取り戻したあとはセキュリティの強化を行いましょう。アカウントを取り戻してすぐに行うべきことは以下の通りです。
※連携している他のSNSアカウントがあった場合は、そちらでも乗っ取りが起きていないか、確認をおすすめします
アカウントを再度乗っ取られないようにすぐにできるセキュリティ強化を行うことが重要となります。
乗っ取りを防ぐための対策
乗っ取り被害にあわないためには、事前に対策を行うことが重要です。行うべき対策は4つあります。
1.パスワードの強化
Twitterのアカウント乗っ取りを防ぐためには、まずパスワードを特定されないことが重要です。パスワードを作る際には以下の4点に注意することが重要となります。
2.他のSNSと連携しない
パスワードが特定され乗っ取られるケースの他に、アプリ連携をしていてアカウントが乗っ取られるケースが多くあります。
アカウント連携を行っていたことで、Twitter以外のアカウントで乗っとりが発生した際に、芋づる式に他のSNSも乗っ取られてしまうことがあります。そのため、SNS連携を行わないことが重要となります。
また、安全を確認できないサードパーティツールなどは使用しないことをおすすめします。
サードパーティとは、その製品自体の開発元・販売元ではない企業が制作した特定のハードウェア、ソフトウェア、サービスなどに対応する製品のことをいいます。アカウントと連動するサードパーティツールを使用する際は、そのツールをきっかけに乗っ取りが発生する可能性があるため、注意が必要です。
3.怪しいメール・サイトに気を付ける
メールで「パスワード変更のお知らせ」と題してパスワードの入力を促し、アカウントを乗っ取られたなどの事例が多くあります。
Twitterのヘルプページにも下記の通り記載されていますが、Twitterからメールでパスワードを要求することはないそうです。送信元がTwitterではない可能性が高いので、注意しましょう。
Twitterがメール、ダイレクトメッセージ、返信でパスワードを要求することはありません。
何かをダウンロードしたり、Twitter以外のウェブサイトにサインインしたりするように要求することもありません。Twitterからのお知らせと称するメールの添付ファイルを開いたり、指示どおりにソフトウェアをインストールしたりしないでください。そのメールは偽物です。
引用:アカウントのセキュリティについて(Twitter ヘルプセンター)
また、「フォロワーを増やせる」など興味を引いてアカウント情報の入力を誘うサイトもあります。怪しいと思ったサイトにはむやみにアクセスしないのが賢明です。
4.ログイン認証(二要素認証)を使う
二要素認証を使うとTwitterアカウントのセキュリティを強化できます。アカウントにログインするためにパスワードに加えてコードやセキュリティキーが必要になるため、二重のセキュリティで不正ログインを防止することが可能です。
二要素認証のやり方はこちらを参考にしてください。
まとめ
Twitterのアカウントが乗っ取られてしまうと、外部からアクセスを許してしまうだけではなく、アカウントが悪用されることでブランドイメージへの影響や、重要情報の漏えい、セキュリティの弱さの露呈に繋がります。自社の影響以外にも、フォロワーが詐欺被害に巻き込まれてしまうこともあり得るため、避けなければならないリスクのひとつです。
また、SNSアカウントの乗っ取りはTwitterだけの問題ではありません。他のSNSでも同様のリスクが考えられるため、社内でSNSアカウントガイドラインや運用ルールなどを決めておくことが大切です。リスクに気付いたときにこそ、対策・回避方法を検討してみましょう。
⇒SNSリスク対策は何からやればいい?SNSリスクの基礎知識と対策を知りたい方はこちら
参考
安全性とセキュリティ(Twitter ヘルプセンター)
デジタルリスクラボ編集部
デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら。