見出し画像

SNSのアカウント乗っ取りに注意!狙われやすい最新手口や確認・対策を紹介

Ryo Yamashi

おはようございます。
noteをご覧頂きありがとうございます。
湘南から世界に飛び出す起業家です。

皆さんが毎日使っているスマホで、SNSやGoogleでWebサイトをクリックして検索したりしていますよね
誰もが経験あるかと思いますが、間違えてクリックしてしまったサイトで脅迫文が出てきたとか急に迷惑メールが送られてきた、はたまたウィルスに感染しました
なんて話は、よくあるかと思います。
でも、もしあなたがそうなった時、対処方は分かっていますか⁇
この誰もが抱えているセキュリティの脅威をよく分からないし、多分大丈夫という考えで対策をしていない人が大勢います。

私は情報セキュリティコンサルタントを生業としており
インフルエンサーや中小企業へのセキュリティ対策の支援をしていますので、皆さんのお役にもきっと立てるかと思います。

さて、本題に入らせていただきます。

そもそも、TwitterやInstagramなどSNSのアカウントはどのようにして乗っ取られるのだろうか?

ひとつはSNSに登録しているIDやメールアドレス、パスワードといったアカウント情報を窃取されて、不正ログインされるケースだ。ログインIDはメールアドレス、電話番号、ユーザー名のいずれでも可能となっているが、ログインIDはSNSのアカウント情報を見ればわかるため、パスワードさえ一致すればログイン可能となる。その予防として二段階認証を設定していれば、ログイン時には自分のスマホなどに届く認証コードが必要になり、不正ログインを防ぐことができるが、二段階認証を設定していなければ、SNSが乗っ取られてしまう可能性が高い。

さらに、最近では二段階認証を突破する巧妙な手口もある。フィッシングサイトなどで入手したIDやパスワードを使い、攻撃者が正規サイトにログインし、正規サイトから出された二段階認証を本人に入力させることで、本人には気づかれず、アカウントを乗っ取るのだ。

また、意外と狙われやすいのが、企業の公式アカウントなど、複数の人間でSNSを管理しているケースだ。攻撃者は公式アカウントの関係者をよそおい、アカウント側に「パスワードを忘れた」などと問い合わせて、パスワードを聞き出す。複数で利用するアカウントの場合は、ログイン通知を設定しないケースもあるため、不正ログインされても気づかないことも多い

結論:SNS乗っ取り対策セキュリティソフトを使用するのが最も心強い

「ノートン先生」と親愛の情などを込めて呼ばれることもあるノートンシリーズは、一般ユーザー向けセキュリティ製品の中でトップクラスの歴史を持つ老舗商品です。最新作であるノートン360は、幅広い防護機能を備えた総合セキュリティソフトとして高い評価を得ています。
ノートン360は公式サイトをはじめ、各種ECサイトでの購入が可能です。公式サイトでは定期的に割引キャンペーンを実施していますので、今回は上記公式オンラインストアからの購入手順を解説していきます。
https://ryosuke0711rugby33.editorx.io/security-yamashi

購入したいライセンスを選び、「カートに入れる」ボタンをクリックしましょう。すると自動的にショッピングカート画面にジャンプしますので、以下の画面で必要情報を入力します。

購入に必要な情報は、以下の6項目です。

  • 姓名

  • 姓名(フリガナ)

  • 郵便番号

  • 住所

  • 携帯電話番号

  • メールアドレス

利用できる支払い方法は、「クレジットカード」もしくは「コンビニ決済」の2種類

コンビニ決済を希望する場合は『「利用規約」、「個人情報の利用について」の内容に同意します。』にチェックを入れて、「注文を確定する」ボタンを押せば購入手続きは完了です。メールにて送付されるコンビニ決済用の番号を使い、最寄りのコンビニで支払いを行ないましょう。

クレジットカード決済を希望する場合は『「利用規約」、「個人情報の利用について」の内容に同意します。』にチェックを入れたあと、クレジットカード番号を入力する画面にジャンプ。

必要情報を入力したあと「注文を確定する」ボタンで購入手続きが完了します。

「アプリ連携」によるSNS乗っ取りにも注意

もうひとつは「アプリ連携」による乗っ取りだ。Twitterではほかのアプリと連携して利用できる機能がある。このアプリ連携機能を悪用して、アカウントを乗っ取るというわけだ。詳しい乗っ取りの手口を説明しよう。

①ツイッター上の記事やSMSなどから詐欺のサービスサイトに誘導する。
②サービスを利用するためにはTwitter連携が必要として、アカウントを連携させる。

このように不正なアプリやwebサービスと気づかず、Twitterを連携させてしまうと、アカウントが乗っ取られ、自分になりすまして勝手にツイートされたり、他の人にさらなる詐欺の元となるダイレクトメッセージを送られたりしてしまう。

ちなみにこの連携を誘導する詐欺サイトは、利用者の心理を巧みについてくるものが多い。たとえばアダルトサイトでは、Twitter認証しないと詳細な内容が見えないというように連携を誘導する。無料で見ようと軽い気持ちでTwitter連携してしまうと、アカウントを乗っ取られてしまったり、情報を抜かれてしまったりするわけだ。さらに被害者にやましい気持ちがあると、その被害は表面化しにくい。

SNS乗っ取りは負の連鎖

では、攻撃者はSNSを乗っ取って、なにを行うのか?主な目的は、被害者になりすまして、ツイートやダイレクトメールなどを発信し、そのツイートを見た人をフィッシングサイトなどに誘導してさらなる詐欺の対象者を増やすことだ。他の詐欺に比べてSNSの乗っ取りがやっかいなのは、乗っ取った人への攻撃よりも、そこからさらに攻撃を広げて、二次的三次的に被害を拡大させる点だ。
Twitter乗っ取りのイメージを元に、詳細を説明しよう。

①攻撃者がTwitterのアカウントを乗っ取る。
②攻撃者が乗っ取ったTwitterのアカウントでニセの投稿を行う。
③投稿を見たフォロワーがその投稿に記載されているURLをタップ。
④誘導したサイトには詐欺のサービスが紹介されており、フォロワーにアカウントを連携させることで、そのアカウントも乗っ取る。

このようにアカウントを乗っ取るたびに、乗っ取ったアカウントに偽投稿を行わせることを繰り返して、ねずみ算式にアカウントを乗っ取っていく。

最終的には、フィッシングサイトや偽警告を表示させるサイトへ誘導して、マルウェアを感染させたり、個人情報を盗難したりする。

このような偽サイトへの誘導のほかに、乗っ取ったアカウントになりすまして、不適切なツイートやコメントの書き込みを行うケースもある。ときには誹謗・中傷の書き込みを行い、犯罪に悪用される場合もあるほか、乗っ取ったアカウントネット上で販売するケースも存在している。

また、攻撃者はツイートによってフォロワーをだますことが目的のため、多くのフォロワーを抱える著名人のアカウントや、有名企業・サービスの公式アカウントが狙われやすい傾向がある。ビル・ゲイツ氏など世界中で多くの著名人や有名企業が、Twitterアカウントの乗っ取り被害にあっている。BBCやニューヨーク・タイムズは、2020年に10万ドル以上の被害が出ていると報じている。

自分のSNSが乗っ取られていないか確認する方法

Twitterをはじめ、SNSの乗っ取りの被害を減らすためには、日頃からSNSをチェックしておくことが大切だ。あらためて自分のSNSが乗っ取られているかを確認する方法を紹介しよう。

◾️SNSが乗っ取られていないか確認する方法

・自分のタイムラインに身に覚えのない投稿がないかを調べる
・SNSのログイン履歴を調べる
・自分のアカウントから身に覚えのないDMが送信されていないかを確認する
・SNSアカウント乗っ取りの通知がないかを確認する
・なにも変更していないのにアカウント情報変更の通知が来ていないかを確認する

自分のアカウントが乗っ取られた場合にするべきこと

万が一、アカウントが乗っ取られた場合は、被害が拡大する前に知人や友人にアカウントが乗っ取られたことを連絡しよう。自分でもSNSにログインができる場合は、すぐにパスワードを変更して非公開に。SNSにログインできない場合は、管理元に連絡をして、回答に従って対応してほしい。

また、乗っ取られたSNSのIDやパスワードを他のサービスでも使いまわしている場合は、速やかにパスワードの変更を。特に銀行やクレジットカードなど金融系のサービスが含まれる場合は、自分でログインできるかどうかを確認し、万が一乗っ取られている可能性がある場合は、そのサービスの案内に従い、電話やお問い合わせサイトなどで速やかに対応を取ろう。

SNSの乗っ取りからアカウントを守る予防策

最後に、SNS乗っ取りの予防策を紹介する。

◾️SNSの乗っ取りからアカウントを守る予防策

・普段からできるだけ二段階認証(SMS認証など)を設定する
・パスワードを推測しにくいものにして、決して外部に漏らさない。10桁以上にして、文字種(大文字・小文字、数字、記号)を多く使う
・ほかのサイトのパスワードと同じパスワードはできるだけ使わない
・ログイン通知機能などの通知機能を有効にし、通知内容の確認を行う
・興味のあるサイトであっても、アプリ連携に注意する
・どんなに親しい人の投稿からの誘導先であっても、誘導されるリンク先については十分注意をする(特に短縮URL)
・フォローしている人のタイムラインにURLが含まれる連続投稿があった場合は、十分注意する
・不審な投稿にあるURLにアクセスしない
・身に覚えのないアプリや連携させ続けておく必要のないアプリは連携を解除しておく

SNSのアカウント乗っ取りは年々、巧妙化している。乗っ取りを防ぐだけでなく、偽のツイートの内容を見て騙されないようにするなど、リテラシーを高めて対策を行いたい。普段からここに紹介した予防策を実践し、万が一、乗っ取りの被害にあった場合は、慌てずに対処してほしい。



この記事が気に入ったらサポートをしてみませんか?