2021/09/15

SNSのアカウント乗っ取りに注意!Twitterで狙われやすい最新手口や確認・対策を紹介

SNSサービスのアカウントの乗っ取りがあとを絶たず、スマホ詐欺が巧妙化している。最近は多くのフォロワーを抱える企業や公式アカウントが狙われやすい傾向があるが、個人の被害報告も多く見かけるようになってきた。SNSが乗っ取られると、フィッシングサイトや架空請求などの不正な詐欺サイトの発信に利用されたり、ログイン不能になったり、結果的にアカウントを削除することになったりと大きな被害に遭うケースがある。

SNS乗っ取りのイメージ

今回は、一般社団法人日本スマートフォンセキュリティ協会(JSSEC) に所属するKDDI 本間輝彰の監修のもと、Twitterを例に乗っ取りの最新手口や、乗っ取り後の被害、確認方法や対策など紹介する。

SNS乗っ取りのイメージ

SNSが乗っ取られる仕組み

そもそも、TwitterやInstagramなどSNSのアカウントはどのようにして乗っ取られるのだろうか?ひとつはSNSに登録しているIDやメールアドレス、パスワードといったアカウント情報を窃取されて、不正ログインされるケースだ。

ログインIDはメールアドレス、電話番号、ユーザー名のいずれでも可能となっているが、ログインIDはSNSのアカウント情報を見ればわかるため、パスワードさえ一致すればログイン可能となる。その予防として二段階認証を設定していれば、ログイン時には自分のスマホなどに届く認証コードが必要になり、不正ログインを防ぐことができるが、二段階認証を設定していなければ、SNSが乗っ取られてしまう可能性が高い。

Twitter乗っ取りの被害イメージ

さらに、最近では二段階認証を突破する巧妙な手口もある。フィッシングサイトなどで入手したIDやパスワードを使い、攻撃者が正規サイトにログインし、正規サイトから出された二段階認証を本人に入力させることで、本人には気づかれず、アカウントを乗っ取るのだ。

二段階認証突破の仕組み

また、意外と狙われやすいのが、企業の公式アカウントなど、複数の人間でSNSを管理しているケースだ。攻撃者は公式アカウントの関係者をよそおい、アカウント側に「パスワードを忘れた」などと問い合わせて、パスワードを聞き出す。複数で利用するアカウントの場合は、ログイン通知を設定しないケースもあるため、不正ログインされても気づかないことも多い。

「アプリ連携」によるTwitter乗っ取りにも注意

もうひとつは「アプリ連携」による乗っ取りだ。Twitterではほかのアプリと連携して利用できる機能がある。このアプリ連携機能を悪用して、アカウントを乗っ取るというわけだ。詳しい乗っ取りの手口を説明しよう。

アプリ連携によるTwitter乗っ取りのイメージ

①ツイッター上の記事やSMSなどから詐欺のサービスサイトに誘導する。
②サービスを利用するためにはTwitter連携が必要として、アカウントを連携させる。

このように不正なアプリやwebサービスと気づかず、Twitterを連携させてしまうと、アカウントが乗っ取られ、自分になりすまして勝手にツイートされたり、他の人にさらなる詐欺の元となるダイレクトメッセージを送られたりしてしまう。

ちなみにこの連携を誘導する詐欺サイトは、利用者の心理を巧みについてくるものが多い。たとえばアダルトサイトでは、Twitter認証しないと詳細な内容が見えないというように連携を誘導する。無料で見ようと軽い気持ちでTwitter連携してしまうと、アカウントを乗っ取られてしまったり、情報を抜かれてしまったりするわけだ。さらに被害者にやましい気持ちがあると、その被害は表面化しにくい。

Twitter乗っ取りは負の連鎖

では、攻撃者はTwitterを乗っ取って、なにを行うのか?主な目的は、被害者になりすまして、ツイートやダイレクトメールなどを発信し、そのツイートを見た人をフィッシングサイトなどに誘導してさらなる詐欺の対象者を増やすことだ。他の詐欺に比べてSNSの乗っ取りがやっかいなのは、乗っ取った人への攻撃よりも、そこからさらに攻撃を広げて、二次的三次的に被害を拡大させる点だ。

Twitter乗っ取りの被害イメージ

Twitter乗っ取りのイメージを元に、詳細を説明しよう。

①攻撃者がTwitterのアカウントを乗っ取る。
②攻撃者が乗っ取ったTwitterのアカウントでニセの投稿を行う。
③投稿を見たフォロワーがその投稿に記載されているURLをタップ。
④誘導したサイトには詐欺のサービスが紹介されており、フォロワーにアカウントを連携させることで、そのアカウントも乗っ取る。

このようにアカウントを乗っ取るたびに、乗っ取ったアカウントに偽投稿を行わせることを繰り返して、ねずみ算式にアカウントを乗っ取っていく。

最終的には、フィッシングサイトや偽警告を表示させるサイトへ誘導して、マルウェアを感染させたり、個人情報を盗難したりする。

このような偽サイトへの誘導のほかに、乗っ取ったアカウントになりすまして、不適切なツイートやコメントの書き込みを行うケースもある。ときには誹謗・中傷の書き込みを行い、犯罪に悪用される場合もあるほか、乗っ取ったアカウントネット上で販売するケースも存在している。

また、攻撃者はツイートによってフォロワーをだますことが目的のため、多くのフォロワーを抱える著名人のアカウントや、有名企業・サービスの公式アカウントが狙われやすい傾向がある。ビル・ゲイツ氏など世界中で多くの著名人や有名企業が、Twitterアカウントの乗っ取り被害にあっている。BBCやニューヨーク・タイムズは、2020年に10万ドル以上の被害が出ていると報じている。

Twitter乗っ取りの被害イメージ

自分のSNSが乗っ取られていないか確認する方法

Twitterをはじめ、SNSの乗っ取りの被害を減らすためには、日頃からSNSをチェックしておくことが大切だ。あらためて自分のSNSが乗っ取られているかを確認する方法を紹介しよう。

◾️SNSが乗っ取られていないか確認する方法

・自分のタイムラインに身に覚えのない投稿がないかを調べる
・SNSのログイン履歴を調べる
・自分のアカウントから身に覚えのないDMが送信されていないかを確認する
・SNSアカウント乗っ取りの通知がないかを確認する
・なにも変更していないのにアカウント情報変更の通知が来ていないかを確認する

自分のアカウントが乗っ取られた場合にするべきこと

万が一、アカウントが乗っ取られた場合は、被害が拡大する前に知人や友人にアカウントが乗っ取られたことを連絡しよう。自分でもSNSにログインができる場合は、すぐにパスワードを変更して非公開に。SNSにログインできない場合は、管理元に連絡をして、回答に従って対応してほしい。

また、乗っ取られたSNSのIDやパスワードを他のサービスでも使いまわしている場合は、速やかにパスワードの変更を。特に銀行やクレジットカードなど金融系のサービスが含まれる場合は、自分でログインできるかどうかを確認し、万が一乗っ取られている可能性がある場合は、そのサービスの案内に従い、電話やお問い合わせサイトなどで速やかに対応を取ろう。

パスワードの変更

SNSの乗っ取りからアカウントを守る予防策

最後に、SNS乗っ取りの予防策を紹介する。

◾️SNSの乗っ取りからアカウントを守る予防策

・普段からできるだけ二段階認証(SMS認証など)を設定する
・パスワードを推測しにくいものにして、決して外部に漏らさない。10桁以上にして、文字種(大文字・小文字、数字、記号)を多く使う
・ほかのサイトのパスワードと同じパスワードはできるだけ使わない
・ログイン通知機能などの通知機能を有効にし、通知内容の確認を行う
・興味のあるサイトであっても、アプリ連携に注意する
・どんなに親しい人の投稿からの誘導先であっても、誘導されるリンク先については十分注意をする(特に短縮URL)
・フォローしている人のタイムラインにURLが含まれる連続投稿があった場合は、十分注意する
・不審な投稿にあるURLにアクセスしない
・身に覚えのないアプリや連携させ続けておく必要のないアプリは連携を解除しておく

SNSのアカウント乗っ取りは年々、巧妙化している。乗っ取りを防ぐだけでなく、偽のツイートの内容を見て騙されないようにするなど、リテラシーを高めて対策を行いたい。普段からここに紹介した予防策を実践し、万が一、乗っ取りの被害にあった場合は、慌てずに対処してほしい。

文:TIME&SPACE編集部
監修:本間輝彰

本間 輝彰

本間 輝彰(ほんま・てるあき)

1966年生まれ、東京都出身。KDDI株式会社、一般社団法人日本スマートフォンセキュリティ協会(JSSEC) 副会長・理事。現在、サービス開発部門にてスマートフォンやIoT機器のセキュリティ対策の推進。JSSECを通じてスマートフォンを中心にモバイルデバイスの安全な利活用を図り普及を促進。