SNSアカウントの「乗っ取り」や「なりすまし(偽アカウント)」による被害が増加しています。生成AIを悪用したディープフェイク技術などの普及により手口はさらに巧妙化しており、一般個人や中小企業も標的となる可能性があります。
免責事項:本記事は一般的な情報提供を目的としており、特定の事案に対する法的助言を行うものではありません。各SNSの規約・機能・サポート対応は変更される場合があります。実務対応の際は最新の公式情報をご確認のうえ、必要に応じて専門家へご相談ください。
「アカウントの乗っ取り」と「なりすまし(偽アカウント)」の特徴
「乗っ取り」は既存の正規アカウントに不正ログインされる被害です。一方、「なりすまし」は本人の名前・写真・会社名などを利用して偽アカウントを作成し、本人や企業を装うものです。手口や対応方法が異なるため、それぞれの特徴を理解しておくことが重要です。
| アカウント乗っ取り | なりすまし(偽アカウント) | |
|---|---|---|
| 主な原因 | ・フィッシング攻撃による認証情報の詐取 ・複数サービスでの認証情報の使い回し(パスワードリスト攻撃) ・不正なアプリ連携 、マルウェア感染によるパスワード窃取 など | ・SNSやWebサイトの公開情報(名前・写真・投稿等)をコピーして本物に似せたアカウントを開設 ・生成AI画像等で本物を装ったアカウントを開設 など |
| 主な被害 | ・顧客、友人、フォロワーへの詐欺DMや不正投稿の発信 ・フィッシングサイトへの誘導 ・パスワード変更によるアカウントの継続乗っ取り など | ・顧客、友人、フォロワーへの詐欺DMや不正投稿の発信 ・偽広告による金銭被害 ・企業や個人の信用低下 など |
自分(自社)のアカウントが被害に遭った場合の対応
被害に遭った場合やなりすましアカウントを発見した場合は、まずスクリーンショットなどで証拠を保全することが重要です。偽アカウントは本人をブロックしている場合もあり、自分で通報できない場合は友人など第三者に通報を依頼する方法もあります。
| 状況 | 対応手順 |
|---|---|
| アカウントが乗っ取られた | ①すべてのセッションをログアウトし、直ちにパスワードを変更 ②多要素認証(MFA)を有効化 ③SNS運営事業者へ「アカウント乗っ取り」を報告 ④友人・フォロワーへ詐欺DMが送信された可能性を周知 ※アカウントにアクセスできない場合は各SNSのサポート窓口へ問い合わせ、被害状況によっては警察相談窓口(#9110)への相談も検討 |
| なりすましアカウントを発見 | ①証拠保全(スクリーンショット、アカウントID、発見日時等) ②SNS運営事業者へ「なりすまし」として報告 ③フォロワーへ偽アカウントの存在を注意喚起 ④影響が大きい場合は消費者庁・警察等への相談も検討 |
| 友人のなりすまし発見 | ①当該SNS以外の手段(電話・メール等)で本人に連絡 ②自分でもSNS運営事業者へ通報 ③偽アカウントからのDMやリンクには絶対に反応しない |
企業・組織が直面するSNSリスク
企業にとってSNSアカウントの乗っ取りやなりすましは、以下のような影響につながる可能性がある深刻な脅威です。顧客だけでなく、取引先や自社従業員を狙ったソーシャルエンジニアリング攻撃※に悪用されるケースも報告されています。
- 顧客や取引先への二次被害
- 自社ブランド毀損、社会的信用への影響
- 情報漏えい
※ソーシャルエンジニアリング攻撃とは:技術的な脆弱性ではなく、「人間の心理」を悪用して情報を騙し取る攻撃です。企業や著名人になりすましたアカウントからの投稿やダイレクトメッセージは、受信者が「本物だ」と信じ込みやすいのが特徴です。企業・著名人の信用が悪用される点に注意が必要です。
| 状況 | 原因と想定されるリスク・被害 |
|---|---|
| 公式アカウント乗っ取り | 簡単なパスワードの使用、パスワードの共有管理、担当者退職時の引き継ぎ漏れなどの管理不備が主な原因。 投稿やDMによるフィッシングサイトへの誘導が拡散され、顧客や取引先に被害が及ぶ可能性がある。 |
| 社長・役員アカウントへのなりすまし | Webサイトや公式SNSの写真・氏名・役職などを転用して偽アカウントを作成。 取引先・従業員・求職者等への詐欺メッセージやマルウェア送付、機密情報の詐取に悪用される可能性がある。 |
| 企業(ブランド)へのなりすまし | 会社名・ロゴ・商品画像など公開情報を複製した偽アカウントを作成。 偽広告や投稿・DMにより偽サイトに誘導され、取引先や消費者が金銭被害を受ける可能性がある(自社の信用への影響もあり)。 |
| 採用担当者へのなりすまし | 採用担当者を装い求職者に接触し、個人情報を収集したり、不正サイトへの誘導に悪用されたりする。 個人情報保護法上のリスクや採用活動への信頼失墜につながる可能性がある。 |
企業・組織として取り組むべきアカウント乗っ取り・なりすまし対策
SNSリスク対策は、技術的対策と人的対策の両面から継続的に取り組むことが重要です。
■ 技術的対策
- 公式アカウントに多要素認証(MFA/二段階認証)を設定し、ログイン権限者を必要最小限に限定する
- アカウントの認証情報を複数サービスで使い回さない(パスワード管理ツールの活用を推奨)
- 担当者交代時には速やかに認証情報・権限を更新する
- 各SNSの公式認証バッジ(認証済みアカウントマーク)の取得を検討する
■ 運用・管理的対策
- SNS運用ルール(投稿承認フロー、パスワード管理、権限管理等)を文書化し、担当者へ周知する
- 役員・社員の写真や経歴など公開情報を定期的に見直す
- 自社名・役員名でSNS検索を定期実施し、偽アカウントを早期発見する
- 偽アカウント発見時の初動対応フロー(報告・通報・周知の手順)を整備する
- 「パスワード・認証コード・金融情報をSNSのDMやメールで求めることは一切ない」旨を公式サイト等で明示・周知する
■ 教育・啓発
- 従業員向けにセキュリティ教育を定期実施する(フィッシング攻撃、なりすましの見分け方を含む)
- SNSで不審なDMや連絡を受けた際の社内報告フローを明確化する
まとめ
SNSの乗っ取りやなりすましは、金銭被害だけでなく、企業の信用失墜・情報漏えい・取引先への二次被害につながる可能性があります。特に役員や採用担当者を装った偽アカウントは、社内外の関係者への詐欺に利用される恐れがあり、一般的なサイバー攻撃と同様の警戒が必要です。
個人として徹底すべきこと
- 多要素認証(MFA)を設定する
- パスワードの使い回しを防ぐ(サービスごとに異なるパスワードを設定する)
- 認証コード・パスワードを第三者に伝えない(SNS運営や公的機関を装った問い合わせに注意)
- 不審なリンクや添付ファイルを安易に開かない
企業として継続・定期的に実施すべきこと
- インシデント対応手順の明確化と定期的な見直し
- SNSアカウント管理体制の整備(権限・パスワード管理の明確化)
- 偽アカウントのモニタリング(自社名・役員名での定期検索)
- 従業員へのセキュリティ教育の実施
【フィッシングメール(BECを含む)にも要注意】
企業公式や役員(社長・取締役等)になりすました偽メール(フィッシングメール・ビジネスメール詐欺:BEC)にも注意が必要です。「緊急の振込依頼」「アカウント情報の確認」「昇給・賞与の手続き」などを装い、金銭・個人情報・認証情報を騙し取ろうとする手口が増えています。差出人名が正規の企業や人物名でも、メールアドレスが全く異なるアドレスであったり、本物に見えるアドレスでも微妙に異なる場合があります(例:〇「maruwa.com」 →×「rnaruwa.com」←この例では最初の「m」が「r」と「n」になっています)。不審なメールのリンクを安易にクリックしたり、返信・送金したりしないよう注意しましょう。 また、被害が発生した場合は関係者への報告と注意喚起を速やかに行い、被害拡大を防ぎましょう。
