TwitterなどSNSの乗っ取り手口と対策【二段階認証で情報流出を防ぐ】

TwitterなどのSNSで多く聞くのがアカウントの乗っ取り被害です。

つい最近でも著名人のTwitterアカウントが乗っ取られる被害がニュースに取り上げられました。

米国でバイデン前副大統領ら多数の著名人のツイッターアカウントが一時的に乗っ取られる被害が発生した。送金詐欺を目的としたハッカーによる攻撃とみられるが、身近なSNS(交流サイト)アカウントを乗っ取られて悪用されるリスクは、企業や一般利用者にもつきまとう。
出典元:SNS乗っ取り どう防ぐ?|日本経済新聞

SNSのアカウント乗っ取りで特に怖いのが乗っ取られていることに気づかないことです。

アカウントが乗っ取られていることに気づいた時にはSNSでつながっている人たちにも被害を及ぼしている場合もあります。

このSNSのアカウント乗っ取りはどのように行われるのか。アカウント乗っ取りの手口を知ることで、乗っ取られない対策をしていきましょう。

SNSの乗っ取り手口

SNSのアカウント乗っ取りの手口は巧妙化しており、乗っ取られた知人や家族のアカウントから詐欺の被害や、さらなるアカウント乗っ取りの被害にあうケースもあります。

まずはどのようにしてSNSが乗っ取られるのかを見ていきましょう。

 

Twitterアカウントの乗っ取り手口

Twitterアカウントにおける乗っ取りの手口は2つあります。

・他サービスから流出した個人情報を利用した不正ログイン
・アプリ連携を利用したアカウント乗っ取り


他サービスから流出した個人情報を利用した不正ログインは、インターネット上の他サービスで利用しているパスワードの情報が流出した場合に起きます。

他のサービスで利用しているパスワードを使い回すことで、Twitterにもアクセスができるようになります。

さらにパスワードの使い回しは、Twitterだけでなくクレジットカードなども同じパスワードを使っていた場合に、カード情報にもアクセスできてしまう可能性があります。

とても危険なのでパスワードの使い回しはしないようにしましょう。


アプリ連携を利用したアカウント乗っ取りは、有名アプリに似せた偽物のアプリに気づかず、ログインするためにTwitterのログイン認証を使うことで起きることがあります。

気づかずにTwitterのログイン情報を偽アプリに渡してしまい、Twitterが乗っ取られるだけでなく、悪質なツイートを発信されてしまうというケースがあります。

 

Facebookアカウントの乗っ取り手口

Facebookアカウントにおける乗っ取りの手口は2つあります。

・他サービスから流出した個人情報を利用した不正ログイン
・友だち3人を活用したパスワード変更


Twitter同様、他サービスから流出した個人情報を利用して不正ログインをすることでFacebookアカウントが乗っ取られてしまうケースがあります。

同じパスワードの使い回しには注意しましょう。


Facebookではパスワードを忘れた場合に友だち3人に協力してもらうことで、パスワードの再発行ができる機能があります。

事前に3つのアカウントを作成し、ターゲットとなるFacebookアカウントと友だちになっておきます。

そしてアカウント上に記載されているメールアドレスを使ってログインのためのパスワード再発行を行います。

友だち3人に認証コードを教えてもらうことでパスワードが再発行できるようになるため、簡単にアカウントの乗っ取りができてしまうのです。

見知らぬ友だちリクエストの承認は控え、メールアドレスも公開しないようにしましょう。

 

SNSの乗っ取り対策

アカウント乗っ取りによる被害にあわないだけでなく、知人に被害が及ばないようにするためにもSNSの乗っ取り対策を行いましょう。

Twitterアカウントの乗っ取り対策

Twitterでのログイン管理には以下の機能が用意されています。

・ログインアラート
・ログイン認証(二段階認証)


Twitterでは新しい端末などでログインしたときに以下のようなログインのアラートメールが送られてきます。

【件名】「Twitterへの新規ログインがありました」
【本文】「ご利用中のTwitterアカウント(ユーザー名)へのログインがありましたのでお知らせします。」


メール本文には「心当たりがない場合」として、パスワードをリセットするためのリンク先があります。

ログインした端末名や場所なども書かれているため、確認して問題がなければ、アラートメールはスルーしてもかまいません。

さらにセキュリティを高める方法としてログイン認証の設定があります。

ログイン認証は、ログインする際に携帯電話を使って二段階認証を行う機能で、Twitterに登録している携帯の電話番号宛に、ログイン用のコード番号を含むショートメールが届き、それを使ってログインを行います。

設定方法は以下です。
「設定とプライバシー」→「アカウント」→「セキュリティ」→「2要素認証」と入り、「テキストメッセージ」、「認証アプリ」、「セキュリティキー」のいずれかにチェックを入れて設定

また、同じ画面にある「パスワードリセットの保護」にチェックを入れておくことで、パスワードをリセットする際にメールアドレスか電話番号を確認するという手順が入ります。

この設定をしておくことで他人から勝手にパスワードを変えられるリスクを下げることができます。

Facebookアカウントの乗っ取り対策

Facebookでのログイン管理には以下の機能が用意されています。

・ログインアラート
・二段階認証


ログインアラートは、いつもとは違うデバイスやブラウザからログインがあった場合、アラートを受け取れる機能です。

万が一誰かが勝手にログインしようとした際も、すぐに気付くことができるため、心強い機能になります。

ただし、パソコンとスマホなどの複数端末でFacebookを使うと、そのたびにアラートメールが届いてしまうため、少し使い勝手が悪くなります。

そこで信頼できるデバイスやアプリ、ブラウザからのログインはアラート対象から外しておきましょう。

設定方法は以下です。
「設定とプライバシー」→「設定」→「セキュリティとログイン」→「認証できないログインに関するアラートを受け取る」

セキュリティとログイン画面では、「ログインの場所」も表示されているので、覚えのないものがあれば、そこで一気にログアウトさせることも可能です。

「二段階認証」の設定も同じ画面内にあり、「SMS」、「認証アプリ」いずれかの認証方法を選べるので、設定して不正アクセス防止の強化につなげられます。

個人の対策だけでは不安ならセキュリティツールを導入しよう

SNSのアカウント乗っ取りの対策には二段階認証がとても有効なので、SNSアカウントには二段階認証をかけるようにしておきましょう。

一方で、いずれのSNSの乗っ取り手口でも言えるのが、他サービスのパスワードを使い回しによるアカウント乗っ取りが発生していることです。

実のところ多数あるサービスのパスワードをすべて違うものに設定し、それをすべて覚えておくにはかなり無理があります。

そこで二段階認証だけでは不安だと感じる人にはセキュリティツールの導入を検討してみましょう。

@niftyパスワードマネージャーならセキュリティに強いパスワードを自動生成し、一括管理までしてくれます。

つまりサービスごとにパスワードを考える必要もなく、パスワードを覚えておく必要もなくなります。
関連記事:覚えられないから…とパスワードの使い回しは危険! 想定されるリスクと対策方法


またメールアドレスをキーにしてインターネット上に情報流出していないかを検知するモニタリング機能が搭載されているので、万が一、情報が流出した際にもすぐに対応することが可能です。
関連記事:メールアドレスを登録するだけで、個人情報のネット流出を検知するサービスとは?


個人の対策だけでは情報流出を把握することは難しく、危険な状態に置かれていることには気づけないものです。

SNSは安全に楽しく使いたいものですが、どれだけ対策をしても乗っ取りや流出被害はゼロにはなりません。できる限りの対策をしておきましょう。

※2020年7月時点の情報です

人気記事 個人情報漏えいを防ぐ5つの対策と流出してしまったときの対応方法

@niftyのおすすめインターネット接続サービス

  • @nifty光
  • ドコモ光
  • auひかり