Twitter,Instagramはこうして乗っ取り可能

この記事は、啓発をこめて記載しているが、悪用厳禁なわけでもあるため表に書くのをとても悩んでいた。しかしながら、過去に盗難した経験から2週に1回程度でどうやって取り戻せたか？といった問い合わせが続くこともあり、対応方法をレクチャーだけでなく、その原因と可能性を残そうと書き始めたものです。

＜5月9日アップデート＞SNSの乗っ取りが再度話題になってきてますね。

セイキンのTikTokが乗っ取られ、ヒカキンも怒り　過去にはほかの有名クリエイターも被害に

下書きを公開した理由　理解してほしいこと

しかし、逆から考えると、これは完全に「乗っ取り方法」掲載でもある。裏本でも暗黒社会でもなく、不本意な利用によりサポートやサーバの負担を増やす意味はない。なので下書きのまま、必要な時にコピーして乗っ取り後の対応や流れ、あと勇気づける言葉や原因についてのメモとして使うことにした。
公開範囲まで読んで、どうしても知りたい人だけが買って知見を得てもよいが、本質は「被害にあわないこと」である。隠さなくても良いと思われるが、検索すると「いくらで乗っ取ります」とか、ほんとか嘘かわからない書き込みや、攻撃や炎上のひとつとして危ないなとおもいました。聞いたところ詐欺がほとんどのようですが、そんなに乗っ取りしたい人がいるのかと思ってゾッとしています。

そうこうしているうちに、内海恵子師匠のアカウント乗っ取りが公然と行われ、そのまま利用されていることに強い憤りを感じた。
97歳までTwitterで140文字ピッタリ投稿していたことも記憶に新しい。故人となり彼女の名言がTwitterに残ってることで勇気づけられた人も多いと聞く。しかし、突然猫の投稿となり、過去の投稿が削除され、フォロワーを残しBitcoinやNFTのツイートをRTしているアカウントになり、アカウント名は変更され、何食わぬ顔で更新されている

故・内海桂子師匠のツイッターが乗っ取り被害か　約4000ツイート削除にファン「墓荒らしにあった気分」

「＠utumikeiko」だったIDが、「＠funnylilcats」に変更され、桂子さんが10年から積み重ねてきた3992ツイートが全て閲覧できない状態に。また、子猫の画像がアップされるようになり、

Yahoo！ニュース

さらに最近は大手NFT関連のアカウントが乗っ取られて被害も出ている。

人気NFT「BAYC」、Instagramアカウントのハッキングで90点以上が盗まれる

かれらはしっかり管理しているにも関わらず乗っ取られたと言っている。

よくあるフィッシング系はDMやそれらしいメールから誘導してパスワードとIDを聞き出してログインをして乗っ取ることにあるが、2要素認証はそうはいかない。このもう一つのパスワードはその瞬間に必要になるもので、2要素を入れないとそもそもログインできず、それを解除したり変更するにもログインが必要になる。

あなたが乗っ取られたらやるべきこと

まず、Instagram、Twitterの指示に従い、慌てずURLなど正しいドメインであることを確認の上進めます。うっかりでも、あわててフィッシングのURLなど踏んではいけません。サポートの奥の方に問い合わせする方法があります。Twitterは乗っ取りに対応したサポートページも用意しています。慌てないでしっかり行いましょう。Instagramもわかりにくいエリアにサポートがあります

フィッシングなど誤ってクリックしてもそれだけではIDは取られませんが、誤ってログインIDなどいれればそれはバレてしまいます。すぐにパス変更など公式アプリを通して利用することが安心です。公式アプリから非正規ページへの誘導されてないかはしっかり確認をしてね。

乗っ取り犯は何が目的か

　彼らにあるメリットは、影響力を低コストで得られること、その影響力で対価を得られることにあるでしょう。NFT関連ではかなりの額が乗っ取りによって動いたと言われてますし、公式アカウントからの誘導メッセージは強力なフィッシングになってしまいます。故・内海師匠のアカウントもきっとその発信できるフォロワー数への影響は乗っ取りする人たちによっては見栄としても必要なものなのかと思います。ちょっと前までは認証マークを利用した情報商材などの誘因、詐欺なども盛んに行われてました。認証マーク付きの自治体アカウントも放置されたままで気が付かずに乗っ取られたという例もよく聞きます。

乗っ取りは対策していても突破される

乗っ取りは他人事とおもう人が多い。私もそうだった。対策を怠っているんだろうと思う人だっているだろう。わたしは出来うることはしていた。

• パスワードは複雑で使い回しのなく定期的に変更

• PCのセキュリティ対策、ウイルス対策しっかりする

• ブラウザの対策

• 最新OS、アップデート処理

• 不要なアプリ、ネットワークの利用はしない

• サービスが提供する二要素認証／二段階認証の設定

• アカウントに紐づくメールもユニーク化

全部できる限りやる教科書タイプで運営しています。
やっていること自体は損ではありません。他の安全安心は価値がありますので。しかし一切無意味でもあることが私の感覚でわかっております。

私自身セキュアについてのアドバイスをしたり講師をしたこともありますので最低ランクは高めにあります。大変だけどもね。
しかし、乗っ取りはそんなの関係なく出来てしまいます。私も目を疑いました。
二要素認証、ログインアラートの受信などをしているので、もし他のマシンからログインをしようとしたらアラートがきます。他のエリアでアクセスすると認証コードを確認させられたり、登録されたメールアドレスやパスワード変更したいときにも通知が寄せられます。そんなのをすっ飛ばしてリセットさせて自由に使う方法が存在しているのです。

というわけで具体的なところは以下になります。乗っ取られた人は上まで見ていれば事故には悔しい思いはあるものの、万全でもあり得ることなんだとおもって（つらいけど）諦めていただきながら、サポートと辛抱強く対処してください。
師匠の乗っ取りが改善されないのは、本人が乗っ取りを受けた報告ができないからでしょう。

続きは想像す。なのでフィクションとしての物語を有料で掲載します。乗っ取りの解決は書いてません。乗っ取り方法を読み物にしています。その通りできるものではありません。この記事以降に断定した投稿などが増えることを望みません。ただSNSのシステム会社が見直してくれることを期待しています。

---