アカウント乗っ取りの被害

不正な広告の投稿

SNSアカウントの乗っ取りで、よく見られる被害が「広告に関する記事の不正な投稿」です。

最も話題になったのは、サングラスや眼鏡を販売するブランド「レイバン」を騙った広告を投稿される乗っ取り被害でしょう。

レイバンは世界的に有名なブランドです。このレイバンの商品のセール広告を装って、偽サイトに誘導するURLを乗っ取ったアカウントで投稿する事例が、2015年頃に多く見られました。その後しばらく、同様の事例の発生数は少なくなっていましたが、2020年頃から再び見受けられるようになってきました。偽サイトは、レイバンの通販サイトを模倣したものですが、被害者がクレジットカード番号や住所などの個人情報を入力することを期待したフィッシングサイトであることが推測されます。もちろん、本物のレイバンとは無関係なサイトです。

アカウントを乗っ取られ、偽サイトに誘導するURLを投稿されてしまうことで、SNS上で繋がりのある人に被害が及んでしまう可能性があります。

やり取りしたメッセージの漏洩

アカウントを乗っ取られた場合、それまでそのアカウントで行った投稿内容や、個人間でやり取りするメッセージ（FacebookのMessenger、TwitterのDMなど）の内容も、第三者に盗み見られてしまいます。

特に、実名でのやり取りを前提としたFacebookでは、住所や電話番号などの個人情報をMessengerでやり取りしている方も多くいるかと思います。

個人情報の漏洩から、更なる二次被害に繋がる恐れがあります。

被害者になりすます

情報の漏洩だけではなく、SNSの乗っ取りにおいては、「攻撃者が被害者になりすます」というのも大きな影響があります。

メッセージSNSの「LINE」の乗っ取りでは、乗っ取ったアカウントの知人に「コンビニでプリペイドカードを購入して、カードの利用番号を送ってほしい」というメッセージを送信し、プリペイドカードを騙し取るという被害が発生しています。

この場合、メッセージを送られた知人は金品を奪われる被害を受けますし、アカウントを乗っ取られた人は「プリペイドカードを購入させる詐欺を行った」というあらぬ疑いを受けてしまいます。友人・知人への二次被害だけでなく、乗っ取られた本人の信用を失墜する事態につながる恐れがあるのです。

信用の失墜は、個人のアカウントだけではなく、企業の公式アカウントにおいても発生します。SNSアカウントを乗っ取られてしまうと、情報管理に問題があるとみなされ、その後の取引や顧客展開にまで影響を及ぼす可能性があります。

アカウント乗っ取りの手口

ここからは、代表的なSNSサービスごとのアカウント乗っ取りの手口をご紹介していきます。

Facebookの乗っ取りの手口

Facebookで特徴的な乗っ取り手口は、利用者が自身のアカウントのパスワードを忘れてログインできなくなったときのアカウント再開手法を悪用したものです。

Facebookでは、アカウントのパスワードやメールアドレスが分からなくなった場合に、友達や家族のアカウントから復旧対象のプロフィールページに行き、アカウントの利用再開を手助けできる機能があります。これを悪用することで、第三者が攻撃対象のアカウントのパスワードを盗み取ることができてしまうのです。

具体的には、攻撃者は事前に攻撃対象の友人になりすましたアカウントを作成します。そして事前に攻撃対象に友達申請を送り、友達になっておくことで、攻撃対象のアカウント復旧手続きを勝手に行い、対象のアカウントにログインしてしまうのです。この際、攻撃者は攻撃対象が公開しているメールアドレスを悪用します。Facebookでは、知人に見つけてもらうためにメールアドレスを公開して利用している方も多いため、特に注意が必要です。

Twitterの乗っ取りの手口

Twitterでは、「アプリ連携」機能を悪用した乗っ取りが多く見られます。

Twitterにおいて、外部のサービスと自身のTwitterアカウント情報を紐づけるアプリ連携という機能が用意されています。この機能によって、自分のTwitterアカウントの過去の投稿のログをまとめたり、ツイート内容を分析したり、性格診断などの結果を自動的に投稿することができるようになります。

攻撃者はこの連携機能を悪用して、被害者のアカウントに関する情報を盗み取るのです。

攻撃者は性格診断などの興味を引くWebサービスを用意し、Twitterユーザにアプリ連携を求めます。この際、連携先のサービスに許可する権限の範囲が表示されるのですが、アカウント乗っ取りを目的としたサービスでは、本来不要な権限を求めることがあります。そうして、Twitterアカウントのダイレクトメールの内容を不正に盗み見たり、勝手にスパムを投稿したりします。

話題になっているサービスだと、怪しいものだと疑わずにアプリ連携してしまうことも多いですが、攻撃を目的としている場合もあるため、注意が必要です。

様々なサービスで共通する手口

様々なサービスで共通する乗っ取り手口として、流出したアカウント情報の利用があります。

あるサービスで漏洩したメールアドレスやパスワードの組み合わせを悪用して、他のサービスでもログインできるかを試行します。ログインが成功してしまうと、アカウント情報が流出していないサービスでも、アカウントを乗っ取られてしまいます。

乗っ取りへの対策

様々な手法で狙われるアカウント乗っ取りですが、どのように対策すればよいのでしょうか。

サービス別に、すぐにできる対策をご紹介します。

Facebookの乗っ取り対策

Facebookでは、知らない人からの友達申請を承認しない、というのが大事な乗っ取り対策です。

全く身に覚えのない人物からの申請であれば、承認する前に怪しいところがないか確認する方も多いと思います。ここで、出身地が同じであったり、共通の友人がいることが確認できてしまうと、申請者の名前に覚えがなくても、友達申請を承認してしまうかもしれません。

攻撃者は、他のアカウントの友達リストから、実在の人物の氏名を騙ることもあります。

身に覚えのない友達申請は、承認しないようにしましょう。

また、新規のログインがあった際に通知が届く「ログインアラート」機能を有効にしておくのも効果的です。

Twitterの乗っ取り対策

Twitterでは、怪しいサービスでは「アプリ連携」を行わないようにしましょう。

Twitterトレンドに掲載されているものや、身の回りの知人・友人が利用しているサービスでも、個人情報の窃取を目的とした悪質なサービスが混ざっている危険性があります。

アプリ連携をする際は、サービスの内容と連携時に要求されている権限の範囲が釣り合っているかを確認しましょう。

また、怪しいサービスと連携してしまった場合は、連携しているアプリ一覧から連携を解除することができます。定期的に連携しているサービスを確認して、怪しいものがあれば解除するようにしましょう。

サービス共通の乗っ取り対策

また、各種SNSサービスに共通する乗っ取り対策として、複数のサービスで同じパスワードを使いまわさないことが大切です。

ログインIDにはメールアドレスが使用されることが多いため、パスワードも同じものを使いまわしていると、複数のサービスにおいてアカウント乗っ取りの被害に遭う危険性があります。

管理の手間は増えてしまいますが、同じパスワードを複数のサービスにまたがって使いまわさないようにしましょう。また、パスワード管理には「1Password」や「LastPass」など専用の管理ツールを使用するのも便利です。

まとめ

通常のサービスのみ利用していても、アカウント乗っ取りの危険性があるのが、人気のあるSNSサービスで注意すべき点です。

「自分は大丈夫」と思い込まずに、定期的にアカウントの安全性を確認するようにしましょう。