SNSアカウントの乗っ取りを防ぐには？（Photo by Pixabay）

　近年、個人・企業を問わずにSNS等のアカウントが乗っ取られるという被害が続出している。いったいどうすればこうした事態を防げるのか？　また乗っ取られないためにはどうすればよいのか。本稿ではアカウントが乗っ取られる原因と対策についてまとめていく。 【画像】編集部員に実際に届いたフィッシングSMS ■アカウント乗っ取りは被害が甚大 　SNSのアカウントなどが乗っ取られる事態は頻繁に発生しているが、有名なところでは以下のようなものが挙げられる。 ●事例1：企業の公式アカウントが乗っ取られ、一時アカウントを停止する事態に発展。 ●事例2：フォロワー2万人規模のゆるキャラの公式アカウントが乗っ取られ、アカウントの閉鎖と作り直しで混乱があった。 ●事例3：地方議会の議員が勝手にスマホを機種変され、PayPayにチャージされたり、高級腕時計を勝手に購入されたりして200万円以上の被害が出た。 　最後の例はSNSに関連した事案ではないものの、SNSなどを通じて漏洩した情報が悪用された例でもあり、後に国が身分証（マイナンバーカード）の確認アプリを用意するなど、社会的な影響も大きかった。大きなニュースにもなっていたので、記憶に新しい方も多いだろう。 　アカウントの乗っ取りが行われた場合、パスワードをはじめとしたアカウント情報が書き換えられてしまうケースが大半だ。最初はパスワードが変更されてアクセスできなくなり、そのうちアカウント名すらも変更され、完全に乗っ取られる場合もある。そのまま自分を装った攻撃者によってデマを流されたり、詐欺などに使われたりするケースもある。 　さらに怖いのが、同じアカウント名とパスワードの組み合わせをほかのサービスでも利用している場合、ほかのサービスで使用しているアカウントも乗っ取られてしまう、というケース。 　これがGoogleやiCloudのアカウントであれば、スマートフォンを中心としたサービス類が一切使えなくなり、メールやスケジュール等の個人情報も失われてしまう。ネットバンキングや暗号通貨、クレジットカードを登録している場合、資産を奪われてしまうこともあるわけだ。 ■どうしてアカウントが乗っ取られるのか？ 　アカウントの乗っ取りは、アカウント名（ID）とパスワードの組み合わせが漏洩することで発生する。こうしたアカウント情報は、過去に発生した様々なクラッキング被害によって漏洩した、別サービス（ネットショップ等）のアカウント情報から漏れることが多い。 　こうした情報はデータベース化され、いわゆる「ディープウェブ」などを通じて密かに取引されているという実態がある。攻撃者はこうしたデータベースを利用して、同時に大量のアカウントに対してログインを試み、アクセスできたものを乗っ取っていく。IDやパスワードの使い回しをしていると、ほかのサービスにもどんどんアクセスされ、乗っ取られる被害が増大することになる。 　自分のアカウント情報が漏れているかどうかは、セキュリティ企業などが用意している検索サイトなどでも調べられるが、こうしたサイトを装い、アカウント情報を集めるための罠というケースもある。 　Googleやアップルが用意している、アプリやOSから直接アクセスできるサービスや、セキュリティソフトの機能として提供されているものを利用するのが安全だ。もし、自分のアカウント情報が漏れていることが確認できた場合は、即座にパスワードを変更し、そのパスワードは二度と使わないようにしよう。 　またこれまでアカウント情報が漏れていなかったとしても、新たに狙われるケースもある。近年多いのはいわゆる「フィッシング」と呼ばれる手法で、「プレゼントに当選しました」「アカウント情報に問題があるためサービスを停止します」といったメールやメッセージなどでリンクを踏ませ、用意した偽サイトに正規のアカウント情報を入力させるというもの。 　リンクにアクセスしてきた被害者に対してマルウェアと呼ばれる悪意のあるソフトをインストールさせて情報を盗み、その情報で正規のサイトにアクセスして乗っ取ってしまう。特にAmazonやクレジットカード会社、銀行などを装って送られるメールについては、つい信用してクリックしてしまう人も多い。 　最後に紹介するのが、スマートフォンの乗っ取りなどに使用された「ソーシャルハッキング」と呼ばれる手法だ。これはマルウェアを送り込んだり、インターネット経由で侵入するのではなく、ターゲットがネット上に公開している情報を集めて類推したり、ターゲットの家族や同僚、あるいはターゲット当人に接触して、言葉巧みに情報を引き出してしまうというものだ。 　冒頭で3番目の事例として紹介したスマートフォンの乗っ取りは、他のサービスの個人認証で使用されていたマイナンバーカードの画像情報から偽のマイナンバーカードを作成し、それを身分証として店頭でスマートフォンの機種変更を行ったものだった。本来ならマイナンバーカードに内蔵されたICの情報を読み取って確認するべきところを、店頭の手続きでは目視だけで通してしまったことから発生したトラブルで、これもソーシャルハッキングの一種と考えていいだろう。 ■どうやったら防げるのか？ 　アカウントの乗っ取りを防ぐには、IDとパスワードの安全性を高めるのが一番だ。まず大前提として、パスワードの使い回しは絶対にしてはいけない。それから、パスワードに使用する文字種はできるだけ3種類以上（パスワードには一般的に、半角アルファベットの小文字、大文字、数字、記号の4種類が使用できる）を使うこと。 　攻撃者は辞書などを使ってパスワード候補を機械的に生成して攻撃してくるため、ランダムな文字列にすることでこれを防ぐわけだ。長さも、15文字以上あれば安全性がかなり高い。また、たとえば誕生日など個人の情報から推測できてしまう単語や数字は、パスワードに利用する人も多いため、SNS上ではできるだけ公開しないほうがいい。本当にささいな情報の組み合わせから、思わぬ情報に辿り着かれることもあるからだ。 　とはいえ、複数の安全なパスワードを作って記憶しておくのは大変だ。こうした時に便利なのが、パスワードを自動生成し、記録しておけるアプリの存在だ。iOSやmacOSなら純正の「パスワード」に含まれる「Keychain」機能が、AndroidやWindowsなら「1Password」などのパスワード管理アプリを使えば、サービスごとに安全性の高いパスワードを自動生成し、記録しておける。それらのパスワードは1つのマスターパスワードで管理できるので、実際のパスワードを記憶する必要はない。 　日本ではパスワードに使用できる文字数や文字種の関係上、設定を変更する必要があるサービスも多いのだが、それでも安全性と利便性を高める上で、強くお勧めできる。さらに二段階認証を含む多要素認証を設定し、パスワードだけではアクセスできないようにするのも重要だ（もちろん、SMSなどで送られてきた承認メッセージを無確認で簡単に承諾してはいけない）。 　逆に、定期的にパスワードを変更することについては、あまり効果がないという指摘もある。使い回しせず、十分な長さでランダムな文字列のパスワードを使っているならば、漏洩を定期的にチェックして、漏洩したものだけを変更する程度で十分だろう。 　つづいて、運用上で気をつけたい点について。SNSでは外部のアプリやサービスと連動させるためにアカウント情報を提供するケースがあるが、共有相手に悪意がある場合、不必要な情報まで抜かれたり、乗っ取りのために悪用されたりすることもある。連携はできるだけ信用できる相手だけにするべきだ。特に占いや診断系サービスは、誰が作っているかわからないので、できるだけ連動させないようにしたい。 　また、企業の公式アカウントなどでは、投稿前に確認と承認を受けるべく、複数人でアカウントを共有しているケースがある。業務上仕方ない部分もあるが、情報漏れのリスクを減らすために、できるだけ関わる人を減らすといいだろう。 　フィッシング防止策としては、不審なメールやDMのリンクをクリックしたり、添付ファイルを開いたりしないよう徹底すること。メールは送信者の名前ではなく、必ずメールアドレスを確認し、本当に正しい送信者かどうかを確認しよう。また、リンクも表示した文字列ではなく、巧妙に別のアドレスにリンクさせているケースがある。メール内のリンクはクリックせず、手動で使用しているサービスのWEBサイトに直接アクセスして確認するようにしよう。 　このほか、SNSで発生している事例としては、友達になった人から電話番号やパスワード、PINを聞かれて答えてしまうというもの。有名人を装ったり、子供の頃の同級生を名乗ったりして相手に信用させ、言葉巧みに聞き出してくるというケースもあるようだ。冷静に考えれば教える必要は全くないし、そもそも有名人からメッセージが送られてくることなどないとわかりそうなものだが、つい引っかかってしまうのだという。家族や友人であったとしても、パスワードやPINを教えるのはNGだ。 　冒頭でも述べた通り、アカウントの乗っ取りは個人、企業を問わずに発生している。個人アカウントももちろんだが、特に公式アカウントの乗っ取りは、企業や団体にとって直接的な被害だけでなく、ビジネス上の信頼をも失わせる危険性がある。絶対に避けなければならない事態なだけに、設定面と運用面の双方をチェックして、乗っ取り被害に遭わないように気をつけたい。