TwitterやLINEの乗っ取り対策と、SNSの今後

TwitterやLINEといった人気のSNSで、アカウントの乗っ取りが絶えません。「自分には関係ない」と思っていた人が突然トラブルに見舞われ、想像以上の被害を受けています。

後悔先に立たず。「まさかこんなことになるなんて……」と打ちひしがれる前にしっかり対策しておけば、アカウント乗っ取りのリスクは劇的に下がります。万が一のことがあっても、SNSの基礎知識を備えていればすばやくスマートな対応ができるので、被害を最小限に食い止めることができます。

この記事では、実用的なアカウント乗っ取り対策を紹介したうえで、犯人の目的、被害者のその後、SNS運営会社の立場という3つの観点から解説しますので、読者のみなさんが安全で快適なオンラインライフを送るための参考にしてもらえればと思います。

目次

実用的な乗っ取り対策クイックガイド

まずは、アカウントを乗っ取られないためには何をすればいいか、具体的な対策から入ります。対策するのは大きく分ければ

  1. パスワード
  2. アプリ
  3. メール
  4. 端末(パソコン・スマホ本体)

の4項目で、これに補足的なことや、Twitterならでは、LINEならではのことが加わります。

どれもやらない理由がない乗っ取り対策ですので、やっていないものがあればすぐに実践してみてください。めんどうでもむずかしくもありません。

何より先にパスワードをしっかりと

SNSをはじめ、ネット上の会員制サービスのセキュリティでは、何よりもパスワードが重要です。パスワードさえしっかりしていれば、それだけで乗っ取り等のリスクは格段下がります

情報処理推進機構の看板。少女マンガのイケメン彼氏が”壁ドン”しながら「知ってるか?本当にお前を守れるのはパスワードだけだぜ」―吹き出すけど内容はドンピシャ。

最強のパスワードはランダムな英数字

パスワードは「ランダムな英数字」が最強なので、もしそうでないパスワードを使っているならアカウント乗っ取りなどに遭う前に変更してしまうといいでしょう。自分の誕生日や電話番号、好きな食べ物やキャラクターなど意味の分かる単語にしていると、推測されやすいのでセキュリティはガクッと落ちてしまいます。パスワードが「password」だったりするのは危険なので今すぐ変更を!

多くの人がランダムな英数字にするのをためらってしまうのは、やはり頭で覚えていられないからでしょう。この点、セキュリティと覚えやすさを完全に両立できるパスワードはありません。ですが、下記で紹介する通り、今ではパスワードに悩める全世界の人に応えるべく、ランダムなパスワードでも安全に保存しておけるツールがたくさん出ています。最近ではChromeやFirefoxなどブラウザにパスワードを提案、記憶してくれる機能がついているので、それらの利用を考えてもいいでしょう。

せっかく乗っ取り対策をするなら、ケチケチせずに最初から最強にすれば今夜からぐっすり眠れますよ。

使いまわしはしない!

読者のなかには、1つだけなら覚えていられるからとTwitter、LINE、Google、Yahoo、Amazon……どのサービスでも同じパスワードにしている人がいるかもしれません。いわゆる「パスワードの使い回し」です。最近は大手サイトなどが注意をうながすことが増えたので、耳にしたことがあるのではないでしょうか。

なぜパスワードの使い回しが問題になっているかというと、どれか一つのサイトで個人情報流出事故があった場合、芋づる式にどれもこれもに不正アクセスされてしまうから。パスワード流出の原因があなたであったにせよなかったにせよ、あなたに被害が生じることには変わりありません。万が一の際に被害を最小限で食い止めるため、使い回しはしないこと。ここもどうせ乗っ取り対策するなら出し惜しみせず、全サイト、全SNSで違うパスワードにしておきましょう。

ランダムパスワードを保存するツールのススメ:最強はなんと紙?

では、覚えておけないようなランダムなパスワードは、どうやってひかえておけばいいのでしょうか?

そんな我々の悩みに応えるべく、パスワード管理ツール(パスワードマネージャー)というものが世にいろいろ出ています。代表的なものでいえば「1Password」「LastPass」など無料版からありますし、ウイルス対策ソフトに付属していることもあります。こうしたツールだと、ログインする時フォームに自動入力してくれてラクだったり、ツールによっては保存したパスワードを暗号化するなどセキュリティを敷いてくれているといったメリットがあります。

パスワード管理ツールの他だと、

  • パソコン・スマホ内のファイル(ワードやエクセル、メモ帳。スマホだったらメモアプリ)にメモしておく
  • ノートなど紙にメモして安全な場所に保管する
  • Chromeなどブラウザに保存しておく

などの方法があります。

メモを残す場合は、パスワードをそのまま全部書くのではなく、自分で覚えていられる文字を空欄にしておくとか、思い出すためのヒントを書いておくなどの方法にしておけば、メモに万が一のことがあった際にも安全です。

メモする場所は、パソコン・スマホ内のファイルだとコピペできて便利ではあるのですが、ネット上で起こるトラブルに対して「紙」は絶大な安全性を誇ります。紙はネットの外にあるので、サイバー犯罪者がアクセスしようがないからです。

実用的に言ってしまえば、たいていの人はおのずから「パスワード管理ツール+ファイルや紙でのメモ」の二本立てになっていくと思います。パスワードマネージャーはランダム英数字の生成から自動入力まで一手にやってくれるので便利ではありますが、使えるのは自分のパソコン一台だけ、スマホだけということがよくあります。仕様や料金が変わったので別のツールに乗り換えたくなったとか、せっかくパスワードを保存したけれどウイルス対策ソフトを別のメーカーに変更することになった、といったことも起こってくるでしょう。ひとつのパスワードマネージャーに永遠に頼りきりというわけにはいかないので、どのみちメモによるバックアップも必要になってくるのです。

これは難易度イージーの記事なので詳しい説明は省きますが、絶対に安全な方法というのはありません。紙は最強かもしれないけれど、物をなくしやすい人にはかえって危険でしょう。なので、パスワードの管理では、自分の性格や都合に合った方法を選ぶことが肝心になってきます。

……と、文章で説明するとたいそうになってしまうのですが、実際問題、パスワードの入力を求められる場面はめったにありません。もしパソコン・スマホが自分用で他の人が触れることがないなら、パスワード管理ツールを使うまでもなく、Chromeなどブラウザに覚えさせておくので平気です。自動入力もしてくれます。それに、もしパスワードがわからなくなってしまったとしても、SNSやサイトは必ずパスワードが再設定ができるようになっています。何かがうまくいかなくなってもなんとかなるので、足踏みせず、使い回しだけは避け、ランダムなパスワードに変えることが大事です。

パスワードを聞かれた=100%詐欺

「あなたのTwitterアカウントが乗っ取られたので今すぐパスワードを変更してください」などといって「変更ページ」のリンクが記載されたメールが送られてきた、などといったことはないでしょうか?

現実には、Twitter社やLINE株式会社などが我々ユーザーにパスワードを聞いてくることは絶対にありません。テクノロジー的にそれが必要な場面がないからです。パスワードを聞いてくる時点でおかしいのです。

メールやサイトでパスワードを尋ねられたら、絶対入力しないこと。100%詐欺だからです。

アプリはいつも最新版に

パスワードの次は、アプリを確認です。

パソコンのウェブブラウザ(Chrome、Windows Edge、Safari、Firefoxなど)やスマホのTwitterアプリ、LINEアプリ等は時々更新されます。古いバージョンのままだと脆弱性が残っていたりするので、攻撃を受けやすくなります。なので、アプリと名がつくものは更新があると言われたら即座にするのが基本です。

……ただし、これを逆手に取った詐欺があるので注意! たとえば、どこかのサイトを見ていたら「あなたのアプリは最新版ではありません。脆弱性がありますので今すぐこちらからアップデート」などと表示された――あわてないで! これは次に述べるフィッシング詐欺やマルウェアなので、絶対にクリックしないこと。更新は必ず正規ルートから行ってください。

スマホアプリは自動更新を設定しておく

まずスマホアプリは、自動更新機能があるので必ず設定しておくといいでしょう。

iPhoneの場合は「設定」→「App Store」→「Appのアップデート」をオンに。

Androidの場合は、「Playストア」→検索窓横にあるマークから自分のアカウントへ→「設定」→「ネットワーク設定」→「アプリの自動更新」から設定できます。アプリの自動更新によってデータ通信料が予想外にはね上がったりしないよう、「WiFi経由のみ」か「ネットワークの指定なし(=データ通信でも自動的にダウンロード、更新を行う)」から選ぶことができるようになっています。

より早く確実に更新するには、手動でこまめに確認するとよいでしょう。

iPhoneなら「App Store」から「アップデート」。

Androidなら「Playストア」→検索窓横にあるマークから自分のアカウントへ→「アプリとデバイスの管理」→「管理」→「アップデート利用可能」に進みます。

更新があるアプリのチェックボックスを入れて選択し、矢印の更新マークをタップすればダウンロード・インストールが始まる。

パソコンソフトの更新は?

パソコン版のChromeやFirefoxなどブラウザソフトは、バックグラウンドや立ち上げ時に自動で更新してくれます。脆弱性の修正をいち早く届けるため、こういう仕様になっているのです。

他のさまざまなパソコンソフトは、ソフトごとにそれぞれです。良質なソフトであれば、たいてい立ち上げ時などに「最新版があります。今すぐ更新しますか?」などとポップアップが表示され、更新があるのを教えてくれます。ウイルス対策ソフトでは、自動更新機能が付いていることが多いです。あとはソフトそれぞれとしか言いようがないので、各ソフトの設定画面やサポートサイトなどをこまめに確認すべきでしょう。

ウイルス対策ソフトには、「ソフトウェアアップデート」などの名称で、パソコン内のソフトが最新版かをチェックしたり、アップデートする機能があったりします。パソコンソフトの更新に気づくためには、それを併用するのもいいでしょう。

メール内のリンクではフィッシング詐欺に注意

パスワード、アプリの次はメールです。

詐欺の古典、有名な会社や商品をかたるニセモノはネットの世界にもごまんと出現しています。

具体的に言うと、本物のYahooやAmazonなどのロゴがついたメールに「3日以内に本人の確認が取れなければアカウントが閉鎖されます。こちらからログインしてください」などと書いてあったので、あわててリンク先でID・パスワードを入力し、ログインボタンを押したら、実は偽サイトだった――これがIDとパスワードを「釣る」フィッシング詐欺です。IDとパスワードを教えてしまったわけなので、詐欺師の側はいつでもあなたのアカウントを乗っ取ることができます(もしひっかかってしまったら1秒でも早くパスワードを変更!)。

先ほどTwitterやLINEをよそおってパスワードを聞いてくるメールに注意を喚起しましたが、この手のメールも「騙り者」の一種です。

こうした詐欺メールはたいてい本物のロゴを(勝手に)使っているので、非常にもっともらしいです。

フィッシング詐欺にだまされないための対策としては、メールに載っているリンクは直接開かず、スマホアプリなりパソコンなり、別の経路で自分のアカウントが無事かどうかを確認する――「裏を取る」くせをつけておくのが有効です。あとは、送信元のメールアドレスをチェックするのも効果的。詐欺メールだと、たいてい本物と似ているけれど何かおかしいアドレスから送信されています(たとえばですがtwee-login.comとか、それっぽく見えるけど本物のtwitter.comではないアドレス)。またオレオレ詐欺などにも共通ですが、詐欺には脅し文句や焦らせるための期限がついているのが定番ですので、これも詐欺を見分ける手がかりになるでしょう。

もしあわててリンクをクリックしてしまったとしても、ログインIDやパスワードを入力せず、ページを早くバツで閉じれば「釣られる」ことはありません。

時遅くアカウント乗っ取り犯にパスワードを変更され、自分が閉め出されてしまったら、一刻も早くサービス運営者であるTwitter, Inc.・LINE株式会社のヘルプに連絡してください(リンクはこの記事の一番下)。この事態をなんとかできるのは、運営者だけです。

パソコン・スマホ側にセキュリティを

アカウント乗っ取りの原因は、ID・パスワードの流出ではなく、パソコン・スマホなど端末側の場合もあります。端末の中にコンピューターウイルスが侵入していたので、のぞき見や遠隔操作をされた、というケースです。

ウイルススキャンとファイアウォールで端末を守る

端末をウイルスから守るには、セキュリティソフトの導入が何よりも有効です。端末内にウイルスが入っていないかをスキャンでき、これから侵入しようとするウイルスに対しては、シールド機能で入ってこられないようブロックしてくれます。

ウイルス対策といえば、ウイルスバスター、ノートン、マカフィーなどの1年いくらというソフトが有名です。

しかしウイルス対策ソフトは、必ずしも有料ではありません。無料版では機能に制限はありますが、ウイルススキャンはフルに使えるのでとりあえずは十分です。どれがいいのか全然ピンとこない方もいるかと思いますので、参考までに世界シェアナンバー1のアバスト無料アンチウイルス公式サイトを紹介しておきます。

参考リンク:アバスト無料アンチウイルス公式サイト(新しいタブで開きます)

セキュリティソフトはいずれでもかまいませんが、うさんくさいメーカーのものを入れるとかえって危険なので、必ず信頼できる有名なメーカーを選んでください。

近年では、Windows10にもとから入っている「Windows Defender」がクオリティを上げ、一定の信頼を置ける水準になりました(「設定」→「更新とセキュリティ」→「Windows セキュリティ」)。機能は少ないですが、最低限の安全は確保できると思われます。

まったくの無防備からウイルス検査・シールド付きのオンラインライフに無料でランクアップできるので、ウイルス対策ソフトは入れない理由がありません。今日からウイルス検査・シールド付きのオンラインライフを。

端末は貸さない・ほったらかさない

端末に関してウイルスの他にもう一点。自分のパソコンやスマホは、たとえ親しい人でも安易に貸したり、放置したりしないようにしましょう。

たとえば、パソコンでTwitterを開いたままデスクを立った。あるいはカフェで飲み物を買いに行く間、友達にスマホをあずけた。その後、あなたのアカウントが乗っ取られた。このとき、犯人として真っ先に疑われるのは友達です。

無用な人間関係トラブルや破局を避けるため、パソコンやスマホは端末のそばを離れるときロックがかかる設定にしておきましょう。

パソコンなら、そばを離れるときはスリープモードに(シャットダウンボタンのすぐ上)。スマホは機種によって多少表現が違いますが、本体設定のなかに「パスコード」「スリープ」などの項目があります。

もう使わないアカウントは、ひと思いに削除

以上が、大きく分けて4項目の対策ポイント、すなわち

  1. パスワード
  2. アプリ
  3. メール
  4. 端末

でした。

ここでアカウントについて、補足を一点付け足しておきましょう。

もう何年もアクセスしてないし、今後も使う見込みはない。そこでのつながりは切れても平気。そんなアカウントは、一思いに削除してしまうのが吉です。使わないアカウントはほうっておかれているので、管理が甘く、思いもかけず乗っ取りのリスクが高いからです。

以上はFacebook、InstagramなどのSNS、GoogleやAmazonなどネット上のサービス全般に言えることです。あなたのネットセキュリティとプライバシー環境が飛躍的に向上するので、まだやっていなかったこと、これまで気を付けていなかったことがあればぜひ今日から実践してみてください。

乗っ取り対策:Twitter編

以上でネット全般にいえることを確認できたので、次は、TwitterやLINE独自の部分について解説していきます。

「2要素認証」は必ずオン

オンラインサービスの世界では、「二段階認証」があると聞いたら即座に「オン」が正解です。

Twitterにも「2要素認証」という名前で二段階認証が用意されています。これを設定しておけば、たとえ乗っ取り犯があなたのパスワードを手に入れたとしても、あなたの携帯電話がなければログインはできません。なので、二段階認証を設定しておけば、乗っ取りのリスクは劇的に下がります。

パソコンでは、「…」をクリックしてメニューを出し、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」→「2要素認証」から設定できます。

Twitterのアカウント乗っ取り対策はすべてここから。

2要素認証のしかたは、携帯電話にテキストメッセージで認証コードを送ってもらうか、認証アプリを利用するのが一般的でしょう。さらに、携帯電話が使えないときのためにバックアップコードも用意されています。いざというときのためにメモしておくといいです。

Twitterアプリの場合は、「設定とプライバシー」→「アカウント」→「セキュリティ」と進むと「2要素認証」があり、同様の方法で設定できます。

サードパーティ製アプリの利用は慎重に

サードパーティとは「第三者」という意味で、運営者(TwitterならTwitter社)以外の人が作った非公式アプリのことを言います。たとえば私は、ツイフィールというプロフィールを好きな量書けるサードパーティを利用しています。Twitterユーザーなら聞いたことがある人も多いのではないでしょうか?

信頼おけるものからうさんくさいもの、ピンからキリまであるのが非公式の世界。Hootsuiteのような企業が制作したソーシャルメディア一括管理ダッシュボードなどになれば世界中のオフィスで確固たる信用を得ていますが、なかには性格診断などエンタメをよそおった悪質なアプリもまぎれています。こうしたサードパーティ製アプリはSNSアカウントを危険にさらしたり、トラブルを呼び込む原因となってきました。

サードパーティアプリには「アクセス権」という概念があります。「そのアプリがあなたのTwitterアカウントに対して何をできるか」という意味です。アプリを使い始める時に「許可」を求められたはずですが、覚えていますか?

ツイフィールの利用開始時に表示された画面。「連携アプリを認証」ボタンを押すと、リストされている権限をツイフィールに与えたことになる。

この「アクセス権」は、Twitterアカウントのセキュリティを固める上でとても重要になります。

以前は、「ダイレクトメッセージを送る」権限を与えられたサードパーティーアプリがあなたのアカウントから商品宣伝のメッセージを送りまくり、友達との間で「なんでこんなものを勧めてきたの?」などと人間関係トラブルが勃発、「いつ乗っ取られたの!?」とあわてて原因を探ったら、遊びで使った性格診断アプリに行き当たった……などということが頻発していました。最近ではTwitter社が対策を講じたのでさすがに減ったのですが、「アクセス権」の原理自体は変わりません。たとえあなたにそんなつもりはなかったにせよ、許可が与えられたなら、サードパーティはあなたのプロフィール情報にアクセスする、ツイートを見るなどができるのです。

なので、サードパーティーからTwitterアカウントへのアクセス権限を求められたときは、ワンクリックで許可を与えてしまう前に、必ず相手が信用できるか、あやしくないかを確認すること。無用なリスクを取り除くため、使っていないサードパーティーアプリは許可を取り消しましょう。

やり方は、まず上記「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」と進みます。そこに出てきたアプリを選べば、与えたアクセス権が分かります。もしそのアプリはいらないと思ったら、「アプリの許可を取り消す」をクリック。これでそのサードパーティーアプリはあなたのTwitterアカウントと切り離され、何もできなくなります。

サードパーティ製アプリを使うかどうかは、すべて自己判断です。Twitter社には責任がありません。

やっかいなのは、「サードパーティアプリがTwitterにアクセスする」という概念が初心者やライトユーザーには分かりにくいことではないでしょうか。「読み取り、書き込みとダイレクトメッセージ」の権限があったら危険なのか、と言えば、必ずしもそうではありません。たとえば、私も使っているHootsuiteはまさに「読み書きDM」をするためのアプリなので、「読み書きDM」の権限を与えることは必要不可欠です。サードパーティ製アプリは無数にあるので、いちいちこれは大丈夫、それは危険、と手取り足取り教えられる人は、Twitter社を含めて誰もいません。下手にアドバイスしてあとで文句を言われたくないからあまり話題にしたくない――それが本音でしょう。正直言うと、これを書いている私もそうです。サードパーティとはそういうものです。

以上を踏まえれば、大事なのは、世の中にはあやしいサードパーティ製アプリも存在しているのだと念頭に置いた上で、利用するかを慎重に判断することだといえるでしょう。実務的に言えば、やたらと多くの権限、重要な権限、そのアプリの機能には必要なさそうな権限を要求してくるアプリは疑ったほうがいいです。とくに必要ない遊びのアプリなら、最初から使わないのが賢明です。

ちなみにですが、サードパーティ製アプリに勝手に(?)ツイートされた、誰かをフォローさせられた、DMを送信されたというのは、部分的な許可に基づいてその範囲のことが行われただけなので、正確にはアカウント乗っ取りではありません。乗っ取られたような気分になるだけです。

乗っ取り対策:LINE編

LINEは、携帯の電話番号と紐づけするというめずらしい認証方法をとっています。そのため二段階認証はないのですが、それ特有の部分が出てきます。

認証番号は絶対誰にも教えない

LINEのアカウントを開こうとすると、携帯に4ケタの「認証番号」が送られてきます。それを入力することでLINEの利用を開始できます。覚えているでしょうか?

家族だろうが友達だろうが、LINEの認証番号を知る必要はありません。無用なトラブルを避けたかったら、絶対に教えないこと。相手を信頼しているかどうかという問題ではなく、パスワードや認証番号とはそういうものです。

もし家族や友達がSNS等でLINEの認証番号を聞いてきたら、ほぼまちがいなくその家族や友達がアカウント乗っ取りに遭っています。直接会うなどの方法で「お前、ラインの認証番号聞いてきたよな? アカウント乗っ取られてるんじゃね?」といった具合で、いち早く本人に教えてあげてください。気づくのが早ければ早いほど、被害は小さくてすむからです。

パスコードロックは必ず設定しておこう

パスコードロックは、スマホからちょっと離れたときにメッセージなどを見られないようロックしておく機能です。

LINEのパスコード入力画面。ロックされているので他人による盗み見などを防げる。

利用者のトラブルを未然に防ぐため、LINE社がせっかく用意してくれたパスコードロック。設定しない理由はありません。まだ設定していない人は、今すぐ画面右上の歯車マークから「プライバシー管理」へ。1分もあれば完了します。

パスコードの設定は、赤矢印の部分にチェックを入れる。

なぜハッカーはアカウントを乗っ取ろうとするのか?

ここまで、ネット上での基本的な防犯や、TwitterとLINEの乗っ取り対策方法を紹介してきました。どれもむずかしくはないし、やろうと思えば1分もかからなかったりしますが、効果は絶大です。まだやっていないものがあったら、ぜひ今すぐやってみてください。

では、ここで視点を変えてみましょう。アカウントを乗っ取るハッカーたちは、一体何を考えているのでしょうか。乗っ取ってどうするの? 犯人の目的を知ればネットセキュリティ全般の基礎力が底からぐっと上がるので、以下ではアカウント乗っ取りをハッカー視点から見ていこうと思います。

友達になりすまして信ぴょう性アップ

SNSアカウント乗っ取りの代表的な目的は、あなたになりすますことです。あなたになり替わってメッセージを送ったり、タイムラインに投稿したりするのです。もちろん「Yahooアカウントにためていたポイントを使われた」などと被害者が直接金品を詐取された事例はあるのですが、犯人の目的は往々にしてもっと先にあるのです。

たとえば、開きたてのTwitterアカウントで「このドリンク、ダイエットに効くよ」とか「このリンクをクリック」などとつぶやいたところで、うさんくささ満点じゃないですか。誰も相手にしてくれないでしょう。

そこで一般ユーザーのアカウントを乗っ取り、あなたになりすませば、そんなうさんくささを払しょくできます。見知らぬ人から聞いたら信じないようなことでも、友達が言っているとなれば、信ぴょう性があるのです。

詐欺の成功率もアップ

一時期世をにぎわせたLINEアカウントの乗っ取りは、金銭の要求が目的でした。乗っ取ったLINEアカウントで「友だち」になりすまし、「プリペイドカードを買って番号を教えて」とメッセージを送るというものです。

詐欺師としては、もしあなたに迷惑メールを送りつけて「困ってるからお金送って」なんて言ったらすぐバレますよね。知らない人から突然お金を送れなんて言われて、払う人はまずいません。

だから少し色をつけて、「2日以内に払わなければアカウントを閉鎖します」とか「先月ご利用の有料サイトの代金を払わなければ法的措置をとります」などと脅しをでっちあげてみたとしても、しょせんはあやしい内容です。そもそもメールだったら、迷惑メールボックスに振り分けられてあなたの目に留まらない公算が高いでしょう。

しかし、本物の友達になりすませば、これまた信ぴょう性があります。詐欺の成功率がうんと上がるのです。

私の知人の職場では、LINEを乗っ取られた人と、その人から送信された「プリペイドカードの番号教えて」メッセージにひっかかってお金を払ってしまった人がいると聞きました。あとであらためて触れますが、いくら悪いのは詐欺師だとはいえ、こうしたアカウント乗っ取りは人間関係悪化の原因になったり、ともすれば職場にいられなくなるケースもあるようです。そういう苦いトラブル、破局を避けるためにも、対策はしっかりしておきたいものです。

乗っ取ったアカウントから広がる、恐ろしい悪用価値

たったの数千円を一回詐取するだけなら、ただのチンピラ詐欺師止まりでしょう。誰かのYahooにたまっていたポイントを勝手に使ってゲームを買った、なんて言ったら、いかにも小物という感じがしますよね。

しかし、それだけで終わらないところには、アカウント乗っ取り独特の怖さがあります。

一つのアカウント乗っ取りは、次なる乗っ取り、次なる犯罪の足掛かりになるのです。

先ほど、もし家族や友達がLINEの認証番号を聞いてきたらその人はアカウントを乗っ取られている、と言いました。このことをハッカー視点で見たらどうでしょう。まず誰でもいいから一人のアカウントを乗っ取り、友だちリストを開き、出てきた人に片っ端からメッセージを送って電話番号と認証番号を聞き出せば、今度は友だちのアカウントを乗っ取れて、それを足掛かりにまた友だちリストから……というふうに、アカウント乗っ取りをくり返せるというわけです。

乗っ取りの連鎖だけではありません。一口にSNSといってもいろいろですが、乗っ取り犯は、乗っ取ったアカウント内のすべての情報――あなたのID・パスワード、氏名、メールアドレス、住所、電話番号など詳細な個人情報はもちろん、誰とつながっているか、学校や職場、そして友達や同僚の氏名・電話番号・メールアドレス・誕生日、あなたの周りの人間関係、トークの一言一言まですべて――を見ることができます。何十人、何百人分の膨大な個人情報を、アカウント一つから一気に獲得できるのです。

ログインに成功した犯罪者は、あなたのアカウント内のすべてを見ることができる。

一般人のアカウントから吸い上げた「名簿」には、たとえばオレオレ詐欺に活用するとか、犯罪グループに売るなど、乗っ取り犯のアイデア次第でたくさんの悪用価値があるのです。

なぜハッカーは一般人のごく普通なアカウントを乗っ取りたいのか?

アカウント乗っ取りという急なトラブルに見舞われた人はよく、「私なんかのアカウントを乗っ取ってどうすんの? 有名人をねらえばいいじゃん!」などと悲鳴を上げるものです。大企業や有名人のアカウントを乗っ取ったほうが、ハッカー界で名を上げられそうに思えますからね。

しかし、ここまで読めばお分かりでしょうが、乗っ取り犯がほしがっているのは一般人が日常で使っているごく普通なアカウントです。詐欺師は、ターゲット候補をできるだけたくさん得て、できるだけコンスタントに犯罪利益をあげなくてはならないからです。大企業や有名人を攻撃するといったゲーム性は求めていないのです。

こうした犯罪目的に都合がいいのは、手早く乗っ取れる、セキュリティの甘いアカウント。だから一般人ほど、SNSアカウントのセキュリティはしっかりしておいたほうがいいのです。

乗っ取り対策をすべき理由~被害者の気の毒なその後から

以上、ハッカーの都合が分かったところで、今度は被害者の立場に立ってみましょう。「もしアカウントを乗っ取られたら、その後どうなるのか」ということです。

SNSアカウント乗っ取り被害には、一点、他のどんな犯罪とも違った特殊性があります。それは、被害が自分ひとりの範囲にとどまらないということです。

もしスリに財布を盗まれたなら、金銭的損害を受けたのはあなた一人だし、「ああもう、ついてない! これからはもう少し気をつけよう」で済みます。スリが捕まったら、返せと言えます。どこをとってもあなたとスリ、一対一の関係です。

ところがアカウント乗っ取りの場合はどうでしょう。

もちろん、どこまで行っても悪いのは乗っ取り犯です。あなたが責任を問われることはありません。ただ、SNSのアカウント乗っ取りでは、「友達」という第三者に、実害が生じます。原因がアカウントのいいかげんな管理にあったとしたら、「あんたのせいで私は金をとられた。しかも私の個人情報が犯罪組織へ流れたじゃないか。これから不安だよ、どうしてくれるんだ! パスワードが自分の誕生日で、しかも使い回しだと? 推測されにくいパスワードにしておくことくらいできただろう」というふうに、つながっていた人を怒らせてしまうことはあり得ます。こうなれば友人関係は破綻し、仕事では信用を失うでしょう。

さらに、乗っ取りに遭ったアカウントは、往々にして削除せざるを得なくなります。先ほど触れたラインを乗っ取られた人も、結局はアカウントを削除することになり、アプリ内でやってきたことやアイテムなどをすべてを失い、つながっていた友人や同僚には謝ってまわり、ラインはそれきりやめてしまったそうです。削除となった場合、そのアカウントだけでつながっていた人との縁は切れてそれきりになります。

このように、SNSアカウントを乗っ取られると、大事な人間関係まで失ってしまいかねないのです。

……こんな悲しいことにはなりたくないじゃないですか。防げるものなら防ぎたいですよね。

アカウント乗っ取り対策は、どれもやってみればかんたんなことにすぎません。コンピューター関連に100%の安全はありませんが、リスクには雲泥の差が出ます。後味悪い破局を避けるためにも、できる対策はしておいたほうがいいのです。

SNS運営者の立場を知るとわかること

では、ここまで乗っ取り犯の目的、被害者のその後とみてきたところで、次にはSNSの運営会社、つまりTwitter,IncやLINE社の立場を考えてみましょう。

私は、スクリーンの向こうの運営者を理解し、意識していることは、デジタル時代を生きるすべての人にとって重要だと考えています。

「Twitter/LINEとは何?」と聞かれて答えられますか?

近年、SNSはあって当たり前になっています。無料だということもあり、小さい子や若者からお年寄りまで、ひまさえあれば触っていますよね。

しかし、「そもそもTwitter/LINEとは何か?」と問われたら……答えられますか? 案外むずかしくて、答えにつまってしまうのではないでしょうか。

「Twitter/LINE/〈その他SNS名〉とは何か」という問いに対する解答で、外せないのは以下3つの項目です。

  1. 誰が運営する(=運営者)
  2. 何のサービスで(=サービスの内容)
  3. 運営企業はどうやって利益を出しているのか(=ビジネスモデル)

うち、3番のビジネスモデルを考えることは、実はとても大事です。SNSに限らず、危険な団体を見分けるバロメーターとして「運営資金の流れ」は必須項目だからです。悪質商法やカルト宗教にはたいてい後ろ暗い資金の流れがある……というアレです。

さて、現状、SNSは利用無料じゃないですか。……おかしいと思いませんか? ボランティアじゃあるまいし、利用者からお金が入らないんじゃ、会社として成り立たないはず。運営各社は世界中で大量な人員を雇っているけど、その給料はどこから調達しているの? ……答えが必要ですよね。

そこで、Twitterを先の3点に当てはめてみましょう。するとTwitterの定義は、

  1. Twitter, Inc. が運営する
  2. 短文投稿サイトで
  3. Twitter上の広告収入およびツイートデータの販売等で利益を出している

といった感じに。よかった、不透明な資金の流れはありませんね。運営者・サービス内容・ビジネスモデルの3点さえ押さえれば、Twitterへの理解はぐっと深まります

フォロー、返信、リツイートや「いいね」といった機能はTwitterユーザー誰しもよく使っていますが、実は枝葉程度のものにすぎないんですよね。また、この定義から、Twitter社にとってユーザーは「お客様」ではないのだ、という立場関係も見えてくるでしょう。(この広告収入=オンライン広告というのはくせもので、先日Facebookが問題を起こしましたが、この記事では割愛します。個人データ売買についてはAIについて論じた際に解説したのでそちらをごらんください。)

同じように当てはめると、LINEは、

  1. LINE株式会社が運営する
  2. メッセージング(チャット、トークなどの呼び方もある)、無料インターネット通話などのサービスで
  3. 広告収入、アプリ内でのコンテンツ(スタンプやゲーム内の仮想アイテムなど)販売、関連サービス、提携企業からの収入等で利益を出している

と定義できます。「既読」機能はLINEを特徴づけていますが、やっぱりそれは枝葉にすぎません。

このように、SNSを理解するためにまず押さえるべきは、「誰が、何を、どうやって運営しているのか」の3点です。

運営会社のしくみを知るべき理由

私がSNSそれぞれの定義を強調するのには理由があります。「それは何?」と聞かれて答えられないようなサービス上でぷかりぷかりと浮かんでいれば、遅かれ早かれ、大なり小なりうまくいかないことが出てくるからです。

運営会社に対する理解は、アカウントを開く時点で早くも効果を発揮します。TwitterならTwitter、LINEならLINEがいかなるものかを正確にとらえてはじめて、自分はそれが好きかどうか、自分にとって必要か、どんなふうに使っていくかを判断できるようになるからです。アカウントを開こうとしている段階で「やっぱりこの短文投稿サービスは自分にはいらないや」と判断したなら、その時点で無用な心配やトラブルを断つことができるのです。

また、利用を開始してからも、「<SNS名>とは何か」を知り、運営会社との立場関係や背景事情を把握できていれば、万が一の際ヘルプに問い合わせるにせよ何にせよスムーズでスマートなやりとりができるようになります。

さらに、少し別の角度で見てみましょう。「それが何なのか」よくわかっていないサービスを、特段の理由もなくダラダラと利用している――それって怖いことだと思いませんか? SNSのユーザー層があまりに広くなった今、プロの起業家・技術者とネット初心者の力量には圧倒的な差があります。それが何かをよく分からないままいじっていた初心者がかんたんに避けられたはずのトラブルに見舞われ、通じる言葉もなくバタバタしたら、煙たがられ、もう少し詳しい周りの人たちから「そんなことも知らなかったの?」とあきれられる。初心者はますます荒れて、「インターネット」や「スマホ」など「関係していそうなもの」を見当外れに恨みだす。そういう苦々しい場面が増えていると感じます。理想としては、SNSを利用し始める前にそれがどういったものか知るべきだし、また知る機会があるべきだと考えています。

「スクリーン越しに運営企業と向き合っている」という感覚を持つことが大事である――私はこのブログでネット関係を扱うたび、いつもそう強調してきました。運営者を知り、意識することこそが気持ちよいSNSライフへの扉だと思います。

なにもプロレベルにまで到達する必要はありません。使いながらでもいいから一歩一歩くわしくなっていき、いざというとき運営会社とコミュニケーションをとれるレベルの知識を身につけておくのは、SNSを利用する以上、誰もがしておくべき最低限の努力だと思います

後悔しないSNSアカウント設定とは?

何事でも、初心者だったころをふり返ってぎょっとしたり、後悔したりすることはありますよね。SNS関連では近年、上記のようなIT企業の事情やネットセキュリティにくわしくなるにつれ、「あの時これを知っていたら、こんなことはしなかったのにな……」と苦い思いをかみしめる人が増加しているようです。

そこで今度は、アカウント開設という「スタートライン」の視点から、より安全なSNSアカウント設定を考えてみたいと思います。

まず第一歩は、先ほども触れた通り、TwitterならTwitter、LINEならLINEがどんなものかを把握すること。もしそのSNSは「必要ない」と思ったなら、最初からアカウントを開かないのが賢明です。一度手渡した個人情報は戻りませんし、先に述べた通り放置されたアカウントは乗っ取り等のリスクが高いため、どのみち後で削除すべきだからです。

この場では「やってみよう」と決め、アカウントを開いたとしましょう。

そうしたらわき目もふらず、設定画面へ直行です。

プライバシーに関する項目(「友達があなたを見つけられるようにしますか」「他のユーザーからメッセージを受け取りますか」など)は、とりあえず全部「いいえ/拒否」に設定。

二段階認証があるなら即座に「オン」。

アカウント設定は後からいくらでも変えられるので、まずは安全第一です。自分に関する情報をだだ漏れにすることはありません。SNS運営会社としては自社の看板サービスが犯罪に利用されてはたまったものではないので、セキュリティ強化の方法はどの会社も各種提供しています。なのでユーザー側はそういったセキュリティ強化設定を見つけて積極的に利用すれば、スタート時点から乗っ取りのリスクが低い、クリーンなアカウントにすることができます。

それが済んでからサービス全体を見て回り、そのSNSをどんなふうに使っていくか、どの機能を使いたくて、どの機能は自分にとっていらないかなど、ざっと計画を立てます。

そして、これでいいかなと準備が整ってから、いよいよ「<SNS名>アカウント開いたよ」と家族や友達にお知らせして本格始動。

これが中・上級者になってからふり返って思う、SNSの理想のスタートです。一度世に放ってしまったプライバシーは戻りませんし、あとからでは利用方法を制限するにしても限界があるからです。

アカウント開設から去る時まで、ベストフレンドは設定画面

ここまでずっと書いてきた、パスワード変更、二段階認証の設定、パスコード設定、サードパーティの権限確認・削除――こういったセキュリティ・プライバシーに関することは、すべて「アカウント設定」内で行います。

設定画面は、投稿する写真にかけるエフェクトなんかよりよっぽど大事です。設定画面こそ、アカウント開設の瞬間からそのSNSを去るまでともに歩む、かけがえのないベストフレンド。日ごろから設定画面がどこにあるか、いつも意識しておくといいでしょう。

SNSは今後どうなっていく?

私はかねてより、インターネットという新しいテクノロジーに大きな可能性を見出してきました。しかし、SNSというサービス業には懐疑的です。正確には、過大評価されていると感じています。

たしかに現状、影響力はあります。Twitterのアクティブユーザーは世界で3億350万人(2018年第二四半期時点)。政治家の発言の場にもなっていますし、商品の宣伝やオフィスでの連絡手段をはじめ、ビジネスでも大規模に利用されています。

しかし、SNSの流行りはいつまで続くかわかったものではありません。浮き沈みも激しい業界です。たとえば10年以上前、mixiというSNSが流行ったのを覚えていますか? 今では、存在すら知らない人のほうが多数ではないでしょうか。近年ではFacebookやTwitterの経営陣にも、このままではどんどん下火になっていくという焦りがみられます。

また、世界規模で普及するにしたがって、SNSはデマ拡散や誹謗中傷、ヘイトスピーチの温床として問題視されるようになりました。運営会社には批判が集中しており、対応に追われているのが現状です。

参考:YouTuberの行く末~問題とその後を解説

道路や水道は、古代文明から存在する、人間にとって必須のインフラです。しかしSNSは、本質的には一企業のサービス業、しかもここ数年の流行にすぎず、代替手段もあるような代物にすぎません。政治家の発言なら議会や会見、ネット上だとしても自分のブログなどで行ったほうが、たった140字のツイッターよりクオリティを高くできます。商品を宣伝するにせよ手段はほかにいくらもあるし、オフィスでの連絡なら電話やメールで十分です。

と、このような懐疑派だとはいえ、私はなにもSNSは使うべきではないと言っているわけではありません。私自身もTwitterなどはよく利用しています。ただ、そんな程度のものを流行りや遊びのつもりでなんとなくいじっているのと引き換えに自分をサイバー犯罪の危険にさらすのは、どう考えても割に合いません。ましてや、パスワードを使いまわしにしていたとかそんなつまらないことで詐欺の被害を被ったり、人間関係を壊してしまったとなれば、深い後悔が残るでしょう。

TwitterやLINEをはじめとするSNSは、自分自身をアカウント乗っ取りなど犯罪のリスクにさらすことがないよう、対策するところはしっかり固め、一投稿型サイトにすぎないことを頭の片隅に置いたうえで付き合っていくべきだと、私は考えています。

天下泰平の夢から覚めて、地に足のついたデジタルライフを

以上、最初に実用的な乗っ取り対策を紹介し、続いてハッカーの目的、乗っ取られたらどうなるのかという被害者の視点、そして最後にSNS運営者の立場という観点から解説してきましたが、いかがだったでしょうか? 直接的な対策はもちろん、ネットセキュリティへの理解に役立てば筆者として本望です。

最後には、対策の一環にもなるので、日本人のネットセキュリティへの意識を指摘して結びたいと思います。

異常に低い、日本人のネットセキュリティ・プライバシーへの意識と関心

世界において、日本といえばテクノロジー大国です。

にもかかわらず、日本人のオンラインセキュリティ・プライバシーへの関心は諸外国と比べて驚くほど低いということはご存知でしょうか?

人々の様子や話されていることからも日々そう感じているのですが、オンラインセキュリティサービス会社・NordVPNが世界192ヶ国、計48,063人を対象に行った国別調査結果はショッキングでした。同調査は世界的なデジタルライフでの行動、プライバシーへの認識、リスクに対する意識を把握することを目的としているのですが、日本はほとんどの項目で成績が悪く、100点満点中44.4点で世界平均65.2点を大きく下回りました。順位では、主要21ヶ国中なんと最下位だったというのです(National Privacy Test、2020年11月実施)。

私はそういう姿を目の当たりにするたび、日本はまだ心の中で鎖国していて、人々は「天下泰平」の夢の中なのだと悲しくなります。つまり、自分の周りのごく狭い人間関係にこもって生きていて、社会のことには無頓着。人生のうちで自分の身に降りかかってもおかしくないはずのトラブルであっても、現実味が感じられず、今日も明日も明後日もきっと同じ平和な日常が続くに違いない――何百年もの鎖国でしみついたそんな「感性」が、インターネットという新しいテクノロジーの場面でも表れているのだと思います。アカウント乗っ取りなんて自分には関係ない。遭うのはどっかのものすごく運の悪い人だ。そんな雰囲気を感じるのです。

しかし私は3つのことを指摘したいのです。

第一に、天下泰平は真っ赤なウソです。江戸時代は少しも平和ではありませんでした。盗賊や悪代官ならいくらもいたわけだし、人々は五人組という恐怖の監視システムのなかで息をひそめていたのが現実です。

第二に、天下泰平がうそなら、この世は猛烈に危険なところなのか? 人生とはサバイバルなのか? ……大げさじゃないですか。性善説では運ばないかもしれませんが、人間にはトラブルに対処する力がきちんと備わっています。

そして最後に、日本人はやらないだけで、できないわけではありません。力は十分持っています。

ネットセキュリティはスリ対策と変わらない

「ネット上には犯罪の危険がある」という話が持ち上がると、とたんに「インターネットはとにかく危ないから一切使うな」と極論に走る人が現れることは私もよく知っています。天下泰平が夢にすぎなかったと気づくと、いきなり「世界は危険なところだ」まで針が振れてしまうのです。

……地に足をつけましょうよ。思考停止に陥り、全面的にフタをすることで解決したような気分にひたるのは、天下泰平の幻想にこもることの一種にすぎません。

たとえば、世界万人みな善人だと信じていた人がこの世にスリというのが存在すると知ったとたん、一切のお金を持ち歩かなくなったとしたらどうなるでしょう? その人の生活は、たった数時間で破綻するに違いありません。

たかだかスリや詐欺師のために、自分をノイローゼにまで追い込むのか? 人間不信に陥り、この世はろくでもないところだと人生を悲観するのか? その先には破滅が見えているのに? これでは精神が不健全だし、思考のバランスもひどく悪いですよね。

極論に走ればやがて自らに破滅を招くのは、インターネットでも同じです。

「子どもにスマホを持たせるな」は「この世にはスリというものがいて危ないから、大人になるまで財布を持たせるな」というのと同じです。それでは子どもは金銭感覚を身に付けられず、大人になってからいきなり財布を持ったところで、コンビニで飲み物一つ買うのにも苦戦してしまうでしょう。

スリ対策といえば、バッグのチャックをしめておく程度のことです。決して面倒でもむずかしくもありません。ちょっとした心がけ程度のことで、みな日ごろから無意識的にやっていますよね。

SNSのアカウント乗っ取り対策も、そんなスリ対策と変わらないのです。やるのはかんたんです。やればできます。乗っ取りを100%防ぐ術はないかもしれませんが、リスクを劇的に下げることができるのです。

結びに:やれば始まる、安心なデジタルライフ

何事でも、みな最初は初心者です。特にインターネットやSNSはそれ自体が新しい分野なので、どう利用すれば安全かを最初から知っていた人は世界中で一人もいませんでした。

それでも今日では、ネットセキュリティ・プライバシーの知識は蓄積され、だいぶ体系化されたように思います。それは決してプロしか分からないむずかしいこと、手間ひまかかるめんどうなことではありません。なので、やりさえすれば、デジタルライフは目覚ましく安全安心になります。

ふり返ると、私の場合はセキュリティソフトの機能からずいぶんたくさんのことを学んだと思います。セキュリティソフトの画面を見て回ると、「WiFiの脆弱性スキャン」「データシュレッダー」「ウェブカメラシールド」など、ネットセキュリティやプライバシーを守る様々な機能が出てきます。こうした機能から、コンピューター上級者がどんな安全策を求めているのかをうかがい知ることができたのです。上級者の視点や考え方をまねていくことで、今ではオンラインセキュリティ・プライバシーの話は何を聞いてもついていけるようになりました。

読者のみなさんもどこかをとっかかりにネットセキュリティ・プライバシーの大枠をとらえ、だんだん理解を深めていけるといいと思いますし、本稿がその助けになったなら筆者としてうれしく思います。

まだアカウントを乗っ取られていないなら、今のうちに対策を完了してしまいましょうよ。来た道をふり返って「よくあんな無防備でネットを使ってたな~」と冷や汗ふきながら苦笑いする時が、きっとまもなくやって来るはずです。

関連記事・リンク

著者プロフィールTwitter

この記事はTwitterやLINEのシステム変更、サイバー犯罪の変遷などに対応するためアップデートされることがあります。公開:2018年8月30日、最終更新:2021年10月2日。

GAFA独占の問題点と日本の現状・課題

インターネットからの個人情報流出事件解説と、自分でできる対策

ネットで知り合った相手に会おうとしているあなたの防犯基礎知識

SNS疲れのパターン4選&リフレッシュ方法!

ネットの誹謗中傷具体例7例と、新たな問題点3点解説

YouTuberの行く末~問題とその後を解説

人工知能(AI)の問題点5選と、人間が全然心配しなくていいこと – 「データ売買」やプライバシーを扱いました。SNS業とも密接なAI、ぜひとも学んでおきたいところです。

もう乗っ取られてしまった場合の公式ヘルプページ

これらのページからサポートへの問い合わせに進めます。

Twitter アカウントが乗っ取られた場合のヘルプ

LINEヘルプセンター アカウントの不正ログイン(乗っ取り)をされた

トップに戻る