近年、個人・企業を問わずにSNS等のアカウントが乗っ取られるという被害が続出している。いったいどうすればこうした事態を防げるのか？　また乗っ取られないためにはどうすればよいのか。本稿ではアカウントが乗っ取られる原因と対策についてまとめていく。

アカウント乗っ取りは被害が甚大

　SNSのアカウントなどが乗っ取られる事態は頻繁に発生しているが、有名なところでは以下のようなものが挙げられる。

●事例1：企業の公式アカウントが乗っ取られ、一時アカウントを停止する事態に発展。

●事例2：フォロワー2万人規模のゆるキャラの公式アカウントが乗っ取られ、アカウントの閉鎖と作り直しで混乱があった。

●事例3：地方議会の議員が勝手にスマホを機種変され、PayPayにチャージされたり、高級腕時計を勝手に購入されたりして200万円以上の被害が出た。

　最後の例はSNSに関連した事案ではないものの、SNSなどを通じて漏洩した情報が悪用された例でもあり、後に国が身分証（マイナンバーカード）の確認アプリを用意するなど、社会的な影響も大きかった。大きなニュースにもなっていたので、記憶に新しい方も多いだろう。

　アカウントの乗っ取りが行われた場合、パスワードをはじめとしたアカウント情報が書き換えられてしまうケースが大半だ。最初はパスワードが変更されてアクセスできなくなり、そのうちアカウント名すらも変更され、完全に乗っ取られる場合もある。そのまま自分を装った攻撃者によってデマを流されたり、詐欺などに使われたりするケースもある。

　さらに怖いのが、同じアカウント名とパスワードの組み合わせをほかのサービスでも利用している場合、ほかのサービスで使用しているアカウントも乗っ取られてしまう、というケース。

　これがGoogleやiCloudのアカウントであれば、スマートフォンを中心としたサービス類が一切使えなくなり、メールやスケジュール等の個人情報も失われてしまう。ネットバンキングや暗号通貨、クレジットカードを登録している場合、資産を奪われてしまうこともあるわけだ。

どうしてアカウントが乗っ取られるのか？

　アカウントの乗っ取りは、アカウント名（ID）とパスワードの組み合わせが漏洩することで発生する。こうしたアカウント情報は、過去に発生した様々なクラッキング被害によって漏洩した、別サービス（ネットショップ等）のアカウント情報から漏れることが多い。

　こうした情報はデータベース化され、いわゆる「ディープウェブ」などを通じて密かに取引されているという実態がある。攻撃者はこうしたデータベースを利用して、同時に大量のアカウントに対してログインを試み、アクセスできたものを乗っ取っていく。IDやパスワードの使い回しをしていると、ほかのサービスにもどんどんアクセスされ、乗っ取られる被害が増大することになる。

　自分のアカウント情報が漏れているかどうかは、セキュリティ企業などが用意している検索サイトなどでも調べられるが、こうしたサイトを装い、アカウント情報を集めるための罠というケースもある。

　Googleやアップルが用意している、アプリやOSから直接アクセスできるサービスや、セキュリティソフトの機能として提供されているものを利用するのが安全だ。もし、自分のアカウント情報が漏れていることが確認できた場合は、即座にパスワードを変更し、そのパスワードは二度と使わないようにしよう。

　またこれまでアカウント情報が漏れていなかったとしても、新たに狙われるケースもある。近年多いのはいわゆる「フィッシング」と呼ばれる手法で、「プレゼントに当選しました」「アカウント情報に問題があるためサービスを停止します」といったメールやメッセージなどでリンクを踏ませ、用意した偽サイトに正規のアカウント情報を入力させるというもの。

　リンクにアクセスしてきた被害者に対してマルウェアと呼ばれる悪意のあるソフトをインストールさせて情報を盗み、その情報で正規のサイトにアクセスして乗っ取ってしまう。特にAmazonやクレジットカード会社、銀行などを装って送られるメールについては、つい信用してクリックしてしまう人も多い。

　最後に紹介するのが、スマートフォンの乗っ取りなどに使用された「ソーシャルハッキング」と呼ばれる手法だ。これはマルウェアを送り込んだり、インターネット経由で侵入するのではなく、ターゲットがネット上に公開している情報を集めて類推したり、ターゲットの家族や同僚、あるいはターゲット当人に接触して、言葉巧みに情報を引き出してしまうというものだ。

　冒頭で3番目の事例として紹介したスマートフォンの乗っ取りは、他のサービスの個人認証で使用されていたマイナンバーカードの画像情報から偽のマイナンバーカードを作成し、それを身分証として店頭でスマートフォンの機種変更を行ったものだった。本来ならマイナンバーカードに内蔵されたICの情報を読み取って確認するべきところを、店頭の手続きでは目視だけで通してしまったことから発生したトラブルで、これもソーシャルハッキングの一種と考えていいだろう。