SNSやWebサービスのアカウントを乗っ取られてしまうと、個人情報の漏えい、金銭的な被害、信頼関係が損なわれるといった大きな影響をもたらしかねない。この記事では、SNSアカウントの乗っ取りについて、その概要、乗っ取られた際に想定される被害、そしてSNSごとに乗っ取りの手口とその対策について解説する。
アカウントの乗っ取りとは
パソコンやスマートフォン(以下、スマホ)を用いて、SNSやWebサービス、アプリなどを新たに使用する際、新規アカウントの作成が求められる。アカウント作成に伴い、メールアドレスや氏名、住所、趣味嗜好、利用用途といった情報を登録。そして、アカウントへのログインのためのIDとパスワードを設定することになる。ユーザーがこうして設定したアカウントを、第三者が詐取するなどしてなりすますのがアカウントの乗っ取りだ。
不正に入手したアカウント情報でアカウントを乗っ取られると、そのアカウントを不正に利用されてしまう。また、設定したパスワードが変更されてしまうなどして、そのアカウントへのログインができない状態となる可能性も伴う。その結果、そのサービスが利用できなくなってしまうのだ。
例えば、金融サービスの場合、ユーザーが意図していない不正な取引で損害を被る。あるいはSNSの場合だと、知人などつながりがあるユーザーに対して、不正なメッセージを送り付ける、といったことが生じ得る。また、ユーザー本人になりすまして、他者への詐欺を試みるような場合もある。
一時期、流行したのが、LINEを不正に乗っ取ってオンラインギフトカードを詐取する手口だ。攻撃者が乗っ取ったユーザーになりすまし、何かしらの理由をつけて、ギフトカードを用いた送金を要求する。攻撃者がなりすました、ユーザーからの懇願を無下にできず、ターゲットとなった知人はその要求に応じてしまう。
このように、アカウントの乗っ取りは、何かしらの損害を被る場合が多い。金銭的な損害だけでなく、このような場合は知人との信頼関係すら損なわれかねない。そのため、こういった事態を防ぐためにも、アカウントの乗っ取りを防ぐことが重要となるのだ。中でも、近年はソーシャルログインの利用も普及しており、SNSアカウントの乗っ取りは被害の影響範囲も広くなりがちだ。
大阪府警が公表している資料では、以下のように典型的なSNSアカウント乗っ取りの手順を紹介している。
1)犯人は、あなたの知人などを装い、あなたの携帯電話番号を聞き出します
2)あなたは、知人だと思い込んで、安易に携帯電話番号を教えてしまいます
3)犯人は、聞き出した携帯電話の番号でSNSにログインします
4)あなたがいつも使っているスマホ、タブレットとは異なる端末からのログインと判断し、SNS運営者は、本人確認としてあなたの端末にショートメールで認証番号を送ります
5)犯人は再度連絡し、あなたに送付された認証番号を聞き出そうとします
6)あなたは相手を知人だと思い込んでいるため、言われるまま認証番号を教えてしまいます
7)犯人はあなたになりすまして、ログインしてあなたのアカウトを乗っ取ります
あくまで典型的な手口であり、SNS運営側が講じる対処策に抗うべく、今後も新たな手口を用いてくることだろう。しかし、こうした手口を参考程度にでも把握しておくことで、不審な手口かどうかの判断材料にはなるはずだ。
SNSアカウントの乗っ取りで想定される被害
SNSのアカウント乗っ取り被害が生じた場合、最初に不正ログインや不正利用といった問題が生じる。最近では不正ログインが疑われる場合、サービス側から不正利用の懸念が通知されることが多い。しかし、そうした通知に気付かない場合、SNSのアカウントにログインできなくなってしまう可能性もある。発覚が遅れれば遅れるほど、SNSアカウントを乗っ取った攻撃者は、自らの攻撃目的を遂行すべく手を尽くすための時間的猶予を得られることになる。
金銭的な利益を目的とする詐欺であれば、詐欺を仕掛けられたユーザーが別ルートで連絡することで発覚する場合もあるかもしれない。しかし、アカウントのユーザー本人になりすまして、虚偽の宣伝を行う、あるいは偏った主張を行う、さらには他者への誹謗中傷を行う、といった場合、そうした連絡が来る可能性も乏しく、ユーザーはアカウントの復旧後、その状況に向き合うことになる。
タイムラインへの投稿の場合、誰がその投稿を閲覧したかを判別するのも難しい。また、乗っ取りによる投稿だったと後日明らかにしたとしても、確実に相手にそのメッセージが届くとは言えない。すでにブロックされてしまっている可能性すらあるからだ。
また、SNSアカウントをソーシャルログインとして利用しているユーザーも少なくないだろう。この場合、影響はより広範囲に及ぶことになる。ソーシャルログインとは、SNSのアカウント情報を使い、ほかのWebサイトやサービスにログインできる機能だ。サービスごとに新しいアカウントを作成する手間が省けるので便利な機能だが、FacebookやX(旧Twitter)、LINEなどのSNSアカウントが乗っ取られた場合、これらのサービスを悪用されてしまう危険性もある。
SNSごとのアカウント乗っ取りの手口
先述のとおり、攻撃者はSNSのアカウントを乗っ取るべく、巧妙な手口を用いる。以下に主要なSNSについて、個別に乗っ取りの手口を考察する。
Instagramの場合、アカウントにログインするにはFacebookアカウントの使用、あるいは電話番号、ユーザーネーム、メールアドレスのいずれかとパスワードの双方が必要となる。電話番号、ユーザーネーム、メールアドレスは何かしら関係性がある知人、関係者には知られていることも少なくない。また、ダークウェブや名簿屋などから、それらの情報を入手することもできてしまう時代だ。
要するに、何かしらの方法を用いてパスワードを入手できれば、攻撃者はアカウントへの不正なログインが可能となる。先述の手口では知人を装って、電話越しでパスワードを聞き出していた。フィッシングサイトを用意して、メールやDMなどでログインさせるといった手口も利用される。また、誕生日や住所など個人情報を入手できている攻撃者の場合、そうした情報からパスワードを類推することも考えられる。
Facebookでは、「Facebookのプロフィールへの訪問者リストを表示できる」と称する書き込みなどで誘導し、スマホやパソコンを操作すると、アカウントを第三者に乗っ取られてしまう、という仕掛けが一時期流行したことがあった。先述のように、リンク先がフィッシングサイトで、IDやパスワードを詐取し、その後アカウントを乗っ取っていたのだ。また、Facebookが公式として用意していたアカウント復旧のプロセスが悪用された時期もあった。現在ではFacebook側が対応済みであるため、こうした手口での乗っ取りは難しくなっている。しかし、仕様の変更などで、また同様の不備が生じることもあるため、注意を払っておく必要があるだろう。
LINE
LINEの場合、電話番号と4桁の認証番号(PINコード)がわかれば、アカウントの乗っ取りができてしまうことがある。また、国内で多くのユーザーが利用しており、メール代わりのコミュニケーションツールとして普及していることもあり、知人を装っての電話越しでPINコードを聞き出す手口が発生しやすい状況にあるだろう。なお、パソコン版LINEを利用していて、メールアドレスでログイン設定している場合も注意が必要だ。この場合、登録しているメールアドレスが特定されると、乗っ取りのリスクは高まるからだ。
X(旧Twitter)
X(旧Twitter)も他サービスなどから流出したメールアドレス・パスワードといった情報を利用し、不正ログインするという手口での乗っ取りが過去に確認されている。そのほか、「アプリ連携」を利用した乗っ取りも行われたことがある。Xの「アプリ連携」とは、Xアカウントでログインすることで、アプリやサービスを利用できるようになる機能だ。ソーシャルログインとも呼ばれ、ユーザーにとって利便性も高いが、その反面でセキュリティリスクも生じ得る。過去には、悪質なアプリが連携権限を取得し、X上でなりすましやスパム投稿を行ったこともあった。
SNSアカウントの乗っ取りへの対策
こうした乗っ取り行為を防ぐべく、ユーザーはあらゆる対策を講じる必要がある。各種サービスのアカウントは自らが管理責任を負うという前提に立つべきだろう。以下に、講じるべき対策を紹介していく。
二段階認証の設定
先に紹介したSNSサービスの多くでは二段階認証の利用を推奨している。まだ設定していない場合、SNSの設定画面経由で容易かつ短時間で設定することが可能だ。しかし、二段階認証を利用することで、ログインする際の手間は若干煩雑になってしまうのは否めない。乗っ取られた際の被害を考えれば、安全の代償と考えるべきだろう。
アカウント情報を共有しない
仮に親しい知人であってもアカウント情報を共有しないこと。先述のように、知人を装って電話越しでアカウント情報を聞き出す手口の場合、その発信元のユーザーが信頼できると確証がとれない限り、PINコードなども教えてはならない。万一、一時的にでも共有してしまったのであれば、その後速やかにパスワードを変更しておきたい。
パスワードは複雑でより長いものに
ログインが煩雑になってしまうものの、パスワードを複雑かつ桁数が多いものにするのはアカウント保護の基本のため、徹底すること。また、そうして設定したパスワードを適切に管理することも重要だ。Webブラウザーやセキュリティソフトの機能として提供されている、パスワードマネージャーを活用することで、効率的に管理することも可能なため、利用を検討しておきたい。
ソーシャルログイン先は精査する
先述のように、ソーシャルログイン先のアプリが悪意あるアプリとして攻撃に転じる可能性もある。なお、アプリのインストール時でも同様だが、連携する場合は適切な権限付与にとどめること。アプリの機能において必要以上の権限を要求される場合、利用しないという判断を下すことも時には求められる。 どうしてもアプリ連携が必要な場合は一時的な連携にとどめ、必要性がなくなり次第、解除するようにしたい。
SNSが人と人をつなげる重要なコミュニケーション手段となって久しい。また、SNS経由でできること、得られることも広がっている。こうした状況はすなわち、SNSアカウントが被害に遭った場合、日常生活に大きな支障を及ぼすことを意味する。
近年相次ぐSNSアカウントの乗っ取りを受け、SNS運営側でも対策は強化している。しかし、先述したように、最終的な管理責任はユーザー自身にあることを忘れてはならない。アカウント乗っ取りの被害に遭わないためにも、危機意識を常に持ってSNSを利用するようにしたい。
