X(旧Twitter)やLINEといった人気のSNSで、アカウントが乗っ取られるケースが絶えません。「自分には関係ない」と思っていた人が突然トラブルに見舞われ、想像以上の被害を受けています。
後悔先に立たず。「まさかこんなことになるなんて……」と打ちひしがれる前にしっかり対策しておけば、アカウント乗っ取りのリスクは劇的に下がります。万が一のことがあっても、SNSの基礎知識を備えていればすばやくスマートな対応ができるので、被害を最小限に食い止めることができます。
この記事では、アカウント乗っ取り対策を実用的に紹介した上で、犯人の目的や手口、被害者のその後、SNS運営会社の立場という3つの観点から解説をしていきます。読者のみなさんが安全で快適なオンラインライフを送るための参考になればと思います。
目次
実用的な乗っ取り対策クイックガイド4項目+α
まずは、アカウントを乗っ取られないためには何をすればいいか、具体的な対策から入ります。対策するのは大きく分ければ
- パスワード
- アプリ/ソフト
- メール
- 端末(パソコン・スマホ本体)
の4項目です。これに補足的なことや、Twitterならでは、LINEならではのことが加わります。
どれもやらない理由がない乗っ取り対策ですので、やっていないものがあればすぐに実践してみてください。めんどうでもむずかしくもありません。
パスワード:何より先にしっかりと
SNSをはじめ、ネット上の会員制サービスのセキュリティでは、何よりもパスワードが重要です。パスワードさえしっかりしていれば、それだけで乗っ取り等のリスクは格段下がります。
最強のパスワードはランダムな英数字
パスワードは「ランダムな英数字」が最強なので、もしそうでないパスワードを使っているならアカウント乗っ取りに遭う前に変更してしまうといいでしょう。自分の誕生日や電話番号、好きな食べ物やキャラクターなど意味の分かる単語にしていると、推測されやすいのでセキュリティはガクッと落ちてしまいます。パスワードが「password」だったりするのは危険なので今すぐ変更を!
多くの人がランダムな英数字にするのをためらってしまうのは、やはり頭で覚えていられないからでしょう。この点、セキュリティと覚えやすさを完全に両立できるパスワードはありません。ですが、下記で紹介する通り、今ではパスワードに悩める全世界の人に応えるべく、ランダムなパスワードでも安全に保存しておけるツールがたくさん出ています。最近ではChromeやFirefoxなどブラウザにパスワードを提案、記憶してくれる機能がついているので、それらの利用を考えてもいいでしょう。
せっかく乗っ取り対策をするなら、ケチケチせずに最初から最強にすれば今夜からぐっすり眠れますよ。
使いまわしはしない!
読者のなかには、1つだけなら覚えていられるからとTwitter、LINE、Google、Yahoo、Amazon……どのサービスでも同じパスワードにしている人がいるかもしれません。いわゆる「パスワードの使い回し」です。最近は大手サイトなどが注意をうながすことが増えたので、耳にしたことがあるのではないでしょうか。
なぜパスワードの使い回しが問題になっているかというと、どれか一つのサイトで個人情報流出事故があった場合、芋づる式にどれもこれもに不正アクセスされてしまうから。パスワード流出の原因があなたであったにせよなかったにせよ、あなたに被害が生じることには変わりありません。万が一の際に被害を最小限で食い止めるため、使い回しはしないこと。ここもどうせ乗っ取り対策するなら出し惜しみせず、全サイト、全SNSで違うパスワードにしておきましょう。
ランダムなパスワードを保存するツールのススメ:最強はなんと紙?
では、覚えておけないようなランダムなパスワードは、どうやってひかえておけばいいのでしょうか?
そんな我々の悩みに応えるべく、パスワード管理ツール(パスワードマネージャー)というものが世にいろいろ出ています。代表的なものでいえば「1Password」「LastPass」など無料版からありますし、ウイルス対策ソフト(下記参照)に付属していることもあります。こうしたツールだと、ログインする時フォームに自動入力してくれてラクだったり、ツールによっては保存したパスワードを暗号化するなどセキュリティを敷いてくれているといったメリットがあります。
パスワード管理ツールの他だと、
- パソコン・スマホ内のファイル(ワードやエクセル、メモ帳。スマホだったらメモアプリ)にメモしておく
- ノートなど紙にメモして安全な場所に保管する
- Chromeなどブラウザに保存しておく
などの方法があります。
メモを残す場合は、パスワードをそのまま全部書くのではなく、自分で覚えていられる文字を空欄にしておくとか、思い出すためのヒントを書いておくなどの方法にしておけば、メモに万が一のことがあった際にも安全です。
メモする場所は、パソコン・スマホ内のファイルだとコピペできて便利ではあるのですが、ネット上で起こるトラブルに対して「紙」は絶大な安全性を誇ります。紙はネットの外にあるので、サイバー犯罪者がアクセスしようがないからです。
実用的に言ってしまえば、たいていの人はおのずから「パスワード管理ツール+ファイルや紙でのメモ」の二本立てになっていくと思います。パスワードマネージャーはランダム英数字の生成から自動入力まで一手にやってくれるので便利ではありますが、使えるのは自分のパソコン一台だけ、スマホだけということがよくあります。また長い目で見れば、仕様や料金が変わったので別のツールに乗り換えたくなったとか、せっかくパスワードを保存したけれどウイルス対策ソフトを別のメーカーに変更することになった、といったことも起こってくるでしょう。ひとつのパスワードマネージャーに永遠に頼りきりというわけにはいかないので、どのみちメモによるバックアップも必要になってくるのです。
これは「難易度イージー」設定の記事なので詳しい説明は省きますが、絶対に安全な方法というのはありません。紙は最強かもしれませんが、物をなくしやすい人にはかえって危険でしょう。オフィスのデスクに置いておくのも適切でありません。なので、パスワードの管理では、自分の性格や都合に合った方法を選ぶことが肝心になってきます。
……と、文章で説明するとたいそうになってしまうのですが、実際問題、パスワードの入力を求められる場面はめったにありません。もしパソコン・スマホが自分用で他の人が触れることがないなら、パスワード管理ツールを使うまでもなく、Chromeなどブラウザに覚えさせておくので平気です。自動入力もしてくれます。それに、もしパスワードがわからなくなってしまったとしても、SNSやサイトは必ずパスワードが再設定ができるようになっています。何かがうまくいかなくなってもなんとかなるので、足踏みせず、使い回しだけは避け、ランダムなパスワードに変えることが大事です。
パスワードを聞かれた=100%詐欺
「あなたのアカウントが乗っ取られたので今すぐパスワードを変更してください」などといって「変更ページ」のリンクが記載されたメールが送られてきた、などといった経験はないでしょうか?
現実には、X社やLINEヤフーなどが我々ユーザーにパスワードを聞いてくることは絶対にありません。技術的にそれが必要な場面がないからです。パスワードを聞いてくる時点でおかしいのです。
メールやサイトでパスワードを尋ねられたら、絶対入力しないこと。100%詐欺だからです。
アプリ/ソフト:必ずいつも最新版に
パスワードの次は、アプリ/ソフトのバージョンを確認です。
パソコンのウェブブラウザ(Chrome、Windows Edge、Safari、Firefoxなど)やスマホのTwitterアプリ、LINEアプリ等は時々更新されます。古いバージョンのままだと脆弱性が残っていたりするので、攻撃を受けやすくなります。なので、アプリと名がつくものは更新があると言われたら即座にするのが基本です。
……ただし、これを逆手に取った詐欺があるので注意! たとえば、どこかのサイトを見ていたら「あなたのアプリは最新版ではありません。脆弱性がありますので今すぐこちらからアップデート」などと表示された――あわてないで! これは次に述べるフィッシング詐欺やマルウェアなので、絶対にクリックしないこと。アプリ/ソフトの更新は、必ず正規ルートから行ってください。
スマホアプリは自動更新を設定しておく
まずスマホアプリは、自動更新機能があるので必ず設定しておくといいでしょう。
iPhoneの場合は「設定」→「App Store」→「Appのアップデート」をオンに。
Androidの場合は、「Playストア」→検索窓横にあるマークから自分のアカウントへ→「設定」→「ネットワーク設定」→「アプリの自動更新」から設定できます。アプリの自動更新によってデータ通信料が予想外にはね上がったりしないよう、「WiFi経由のみ」か「ネットワークの指定なし(=データ通信でも自動的にダウンロード、更新を行う)」から選ぶことができるようになっています。
より早く確実に更新するには、手動でこまめに確認するとよいでしょう。
iPhoneなら「App Store」から「アップデート」。
Androidなら「Playストア」→検索窓横にある自分のアイコン→「アプリとデバイスの管理」→「管理」→「アップデート利用可能」に進みます。
パソコンソフトの更新は?
パソコン版のChromeやFirefoxなどブラウザソフトは、バックグラウンドや立ち上げ時に自動で更新してくれます。脆弱性の修正をいち早く届けるため、こういう仕様になっているのです。
他のさまざまなパソコンソフトは、ソフトごとにそれぞれです。良質なソフトであれば、たいてい立ち上げ時などに「最新版があります。今すぐ更新しますか?」などとポップアップが表示され、更新があるのを教えてくれます。また、ウイルス対策ソフトではたいてい自動更新機能が付いています。あとはソフトそれぞれとしか言いようがないので、各ソフトの設定画面やサポートサイトなどをこまめに確認するといいでしょう。
ウイルス対策ソフトには、「ソフトウェアアップデート」などの名称で、パソコン内のソフトが最新版かをチェックしたり、アップデートする機能があったりします。パソコンソフトの更新に気づくためには、それを併用するのもいいでしょう。
メール:フィッシング詐欺に注意
パスワード、アプリの次、3番目はメールです。
具体的に言うと、本物のYahooやAmazonなどのロゴがついたメールに「3日以内に本人の確認が取れなければアカウントが閉鎖されます。こちらからログインしてください」などと書いてあったので、あわててリンク先でID・パスワードを入力し、ログインボタンを押したら、実は偽サイトだった――これがIDとパスワードを「釣る」フィッシング詐欺です。IDとパスワードを教えてしまったわけなので、詐欺師の側はいつでもあなたのアカウントを乗っ取ることができます(もしひっかかってしまったら1秒でも早くパスワードを変更!)。
フィッシングによるアカウント乗っ取りの対策としては、普段からメールに載っているリンクは直接開かず、別の経路で独自にアクセスする習慣をつけておくのが有効です。特に、リンクが短縮アドレスの場合はまちがいなくフィッシング詐欺です。本物の運営会社がメールで短縮アドレスを使うことはありません。
あとは、送信元のメールアドレスをチェックするのも効果的。詐欺メールだと、たいてい本物と似ているけれど何かおかしいアドレスから送信されています(たとえばですがtwee-login.comとか、それっぽく見えるけど本物のtwitter.comではないアドレス)。もしアドレスがランダムな文字列だったら詐欺でまちがいありません。メールの件名に惑わされることなく、必ずアドレスを確認しましょう。
またオレオレ詐欺などにも共通ですが、詐欺には脅し文句や焦らせるための期限がついているのが定番ですので、これも詐欺を見分ける手がかりになります。
万が一あわててリンクをクリックしてしまった場合は、一刻も早くページをバツで閉じましょう。リンク先のサイトでIDやパスワードは決して入力しないこと。
時遅く犯人にパスワードを変更され、自分が閉め出されてしまったら、一刻も早くサービス運営会社のヘルプに連絡してください(リンクはこの記事の一番下)。この事態をなんとかできるのは運営者だけです。
パソコン・スマホ:端末のセキュリティを固める
アカウント乗っ取りの原因は、ID・パスワードの流出ではなく、パソコン・スマホなど端末側の場合もあります。端末の中にコンピューターウイルスが侵入していたので、のぞき見や遠隔操作をされた、というケースです。
ウイルススキャンとファイアウォールで端末を守る
端末をウイルスから守るには、セキュリティソフトの導入が何よりも有効です。セキュリティソフトは端末内のウイルスをスキャンし、これから侵入しようとするウイルスに対しては、シールド機能で入ってこられないようブロックしてくれます。
ウイルス対策といえば、ウイルスバスター、ノートン、マカフィーなどの1年いくらというソフトが有名です。
しかし、ウイルス対策ソフトは、必ずしも有料ではありません。まずWindowsだと、最初から組み込まれている「Microsoft Defender(旧Windows Defender)」がクオリティを上げました。近年では、第三者機関AV-TESTの評価で、有料のセキュリティソフトと遜色ない水準に達しています。Windowsのユーザーであれば有料ソフトを買うまでもなく、「Microsoft Defender」をそのまま利用するのでかまわないでしょう。
ではiOSやAndroidの端末ではどうすればいいのかといえば、「Micorosoft Defender」以外にも無料で高機能なセキュリティソフトは存在しています。どれがいいのか全然ピンとこない方もいるかと思いますので、参考までに世界シェアのベストスリーに絶えずランクインしている「アバスト」を紹介しておきます。
参考リンク:アバスト無料アンチウイルス公式サイト(新しいタブで開きます)
セキュリティソフトはいずれでもかまいませんが、うさんくさいメーカーのものを入れるとかえって危険なので、必ず信頼できる有名なメーカーを選んでください。
まったくの無防備からウイルス検査・シールド付きのオンラインライフに無料でランクアップできるので、ウイルス対策ソフトは入れない理由がありません。今日からウイルス検査・シールド付きのオンラインライフを。
端末は貸さない・放置しない
端末に関してはウイルスの他にもう一点。自分のパソコンやスマホは、たとえ親しい人でも安易に貸したり、放置したりしないようにしましょう。
たとえば、パソコンでXを開いたままデスクを立った。あるいはカフェで飲み物を買いに行く間、友達にスマホをあずけた。その後、あなたのアカウントが乗っ取られた。このとき、犯人として真っ先に疑われるのは友達です。
無用な人間関係トラブルや破局を避けるため、パソコンやスマホは端末のそばを離れるときロックがかかる設定にしておきましょう。
パソコンなら、そばを離れるときはスリープモードに(シャットダウンボタンのすぐ上)。スマホは機種によって多少表現が違いますが、本体設定のなかに「パスコード」「スリープ」などの項目があります。
もう使わないアカウントは、ひと思いに削除
以上が4項目の対策ポイント、すなわち
- パスワード
- アプリ
- メール
- 端末
でした。
ここで補足を一点付け足しておきましょう。
もう何年もアクセスしてないし、今後も使う見込みはない。そこでのつながりは切れても平気。そんなSNSは、一思いに削除してしまうのが吉です。使わないアカウントはほうっておかれているので、管理が甘く、思いもかけず乗っ取りのリスクが高いからです。
以上はFacebook、InstagramなどのSNS、GoogleやAmazonなどネット上のサービス全般に言えることです。あなたのネットセキュリティとプライバシー環境が飛躍的に向上するので、まだやっていなかったこと、これまで気を付けていなかったことがあればぜひ今日から実践してみてください。
X(旧Twitter)編
以上でネット全般に共通するセキュリティ対策を確認できたので、次は、X(旧Twitter)やLINE独自の部分について解説していきます。
アカウント乗っ取りの手口は2通り
まず、X(旧Twitter)アカウント乗っ取りの場合、犯人の手口は次の2通りになります。
- パスワードを推測する
- ユーザーにサードパーティーアプリをつかませる
Xのログインは、ユーザー名・電話番号・メールアドレスのいずれかとパスワードで行われます。このうちユーザー名なら一般公開されていますし、電話番号やメールアドレスは犯罪の世界で入手しているかもしれないので、犯人はパスワードを推測するだけでアクセスできてしまいます。Xアカウントを守れるのはパスワードだけなのです。
もうひとつの手口は、ネット上でおもしろそうに見えるサイトやアプリを提供し、利用するのにXとの連携を求めるという方法です。
では、これら2つの手口からはどのように身を守ればいいのでしょうか?
「2要素認証」は必ずオンに
オンラインサービスの世界では、「二段階認証」があると聞いたら即座に「オン」が正解です。
Xにも「2要素認証」という名前で二段階認証が用意されています。これを設定しておけば、たとえ乗っ取り犯があなたのパスワードを手に入れたとしても、あなたの携帯電話がなければログインはできません。なので、二段階認証を設定しておけば、乗っ取りのリスクは劇的に下がります。
Xの2要素認証の設定方法
設定のやり方は、まずは「…もっと見る」をクリックしてメニューを出し、「設定とプライバシー」を選びます。
すると設定画面が出てきます。2要素認証を設定するには、「セキュリティとアカウントアクセス」を選び、「セキュリティ」に進みます。
「セキュリティ」を開くと「2要素認証」がありますので、ここで設定します。
Xの2要素認証は、携帯電話にテキストメッセージで認証コードを送ってもらうか、Google Authenticatorのような認証アプリを利用するのが一般的です。
さらに、携帯電話が使えないときのためにバックアップコードも用意されています。いざというときのためにメモしておきましょう。
スマホアプリでもやり方は同様で、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」と進むと「2要素認証」があります。
サードパーティ製アプリの「アクセス権限」に注意
サードパーティとは「第三者」という意味で、運営者以外の人が作った非公式アプリのことを言います。たとえば私は、「ツイフィール」というプロフィールを好きな量書けるサードパーティを利用していました。聞いたことがある人も多いのではないでしょうか?
信頼おけるものからうさんくさいもの、ピンからキリまであるのが非公式の世界。Hootsuiteのようなソーシャルメディア一括管理ダッシュボードなどになれば世界中のオフィスで確固たる信用を得ていますが、なかには性格診断などエンタメをよそおって人をだます悪質なアプリもまぎれています。こうしたサードパーティ製アプリは、SNSアカウント乗っ取りや、深刻なプライバシー上のトラブル等の原因となってきました。
サードパーティアプリには「アクセス権」という概念があります。「そのアプリがあなたのXアカウントに対して何をできるか」という意味です。アプリを使い始める時に「許可」を求められたはずですが、覚えていますか?
この「アクセス権」は、X(旧Twitter)アカウントのセキュリティを固める上でとても重要になります。
以前は、「ダイレクトメッセージを送る」権限を与えられたサードパーティーアプリがあなたのアカウントから商品宣伝のメッセージを送りまくり、友達との間で「なんでこんなものを勧めてきたの?」などと人間関係トラブルが勃発、「いつ乗っ取られたの!?」とあわてて原因を探ったら、遊びで使った性格診断アプリに行き当たった……などということが頻発していました。最近では運営会社が対策を講じたので前と比べれば減ったのですが、それでも決してなくなってはいません。
アクセス権限の取り消し方
サードパーティーからX(旧Twitter)アカウントへのアクセス権限を求められたときは、ワンクリックで許可を与えてしまう前に、必ず相手が信用できるか、あやしくないかを確認すること。無用なリスクを取り除くため、使っていないサードパーティーアプリは許可を取り消しましょう。
やり方は、まず上記「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」と進みます。
次に「連携しているアプリ」を選びます。
自分が権限を与えたサードパーティアプリのリストが出てきます。各アプリを選べば、与えたアクセス権が分かります。
もしそのアプリはいらないと思ったら、「アプリの許可を取り消す」をクリック。これでそのサードパーティーアプリは切り離され、何もできなくなります。
サードパーティー製アプリの利用は慎重に
サードパーティー製アプリを使うかどうかは、すべて自己判断です。X社には責任がありません。
やっかいなのは、「サードパーティーアプリがアカウントにアクセスする」という概念が初心者やライトユーザーには分かりにくいことではないでしょうか。「読み取り、書き込みとダイレクトメッセージ」の権限があったら危険なのか、と言えば、必ずしもそうではありません。例えば、私が以前使っていた「Hootsuite」は投稿や閲覧、DMの管理をするためのアプリなので、「読み書きDM」の権限を与えることは必要不可欠です。サードパーティ製アプリは無数にあるので、いちいちこれは大丈夫、それは危険、と手取り足取り教えられる人は、運営会社を含めて誰もいません。下手にアドバイスしてあとで文句を言われたくないからあまり話題にしたくない――それが本音でしょう。正直言うと、これを書いている私もそうです。サードパーティとはそういうものです。
以上を踏まえれば、大事なのは、世の中にはあやしいサードパーティ製アプリも存在しているのだと念頭に置いた上で、利用するかを慎重に判断することだといえるでしょう。実務的に言えば、やたらと多くの権限、重要な権限、必要なさそうな権限を要求してくるアプリは疑ったほうがいいです。特に性格診断など遊びのアプリは、最初から使わないのが賢明です。
ちなみにですが、サードパーティ製アプリに勝手に(?)ツイートされた、誰かをフォローさせられた、DMを送信されたというのは、部分的な許可に基づいてその範囲のことが行われただけなので、正確にはアカウント乗っ取りではありません。乗っ取られたような気分になるだけです。
LINE編
LINEは、携帯の電話番号と紐づけするというめずらしい認証方法をとっています。そのため二段階認証はないのですが、それ特有の部分が出てきます。
認証番号は絶対誰にも教えない
LINEのアカウントを開こうとすると、携帯に4ケタの「認証番号」が送られてきます。それを入力することでLINEの利用を開始できます。覚えているでしょうか?
家族だろうが友達だろうが、LINEの認証番号を知る必要はありません。無用なトラブルを避けたかったら、絶対に教えないこと。相手を信頼しているかどうかという問題ではなく、パスワードや認証番号とはそういうものです。
もし家族や友達がSNS等でLINEの認証番号を聞いてきたら、ほぼまちがいなくその家族や友達がアカウント乗っ取りに遭っています。直接会うなどの方法で、いち早く本人に教えてあげてください。気づくのが早ければ早いほど、被害は小さくてすむからです。
パスコードロックは必ず設定しておこう
パスコードロックは、スマホから離れたときにメッセージなどを見られないようロックしておく機能です。
利用者のトラブルを未然に防ぐため、せっかく用意されているパスコードロック機能。設定しない理由はありません。
パスコードロックの設定方法
やり方は、まず「ホーム」画面の右上の歯車マークをタップします。
LINEの設定画面が出てきます。パスコードの設定は「プライバシー管理」の中にあります。
「パスコードロック」をタップします。
設定したい4ケタのパスコードを聞かれます。2度入力すれば完了です。
なぜ詐欺師はSNSアカウントを乗っ取ろうとするのか?
ここまで、ネット上での基本的な防犯や、X(旧Twitter)とLINEの乗っ取り対策方法を紹介してきました。
では、ここで視点を変えてみましょう。犯人の側は、一体何を考えているのでしょうか。乗っ取ってどうするの? 犯人の目的を知ればネットセキュリティ全般の基礎力が底からぐっと上がるので、以下ではアカウント乗っ取りを犯人視点から見ていこうと思います。
友達になりすまして信ぴょう性アップ
SNSアカウント乗っ取りの代表的な目的は、あなたになりすますことです。あなたになり替わってメッセージを送ったり、投稿したりするのです。
たとえば、開きたてのSNSアカウントで「このドリンク、ダイエットに効くよ」とか「このリンクをクリック」などと投稿したところで、うさんくささ満点ですよね。これでは誰も相手にしてくれないでしょう。
そこであなたになりすませば、そんなうさんくささを払しょくできます。見知らぬ人から聞いたら信じないようなことでも、友達やフォロワーが言っているとなれば、信ぴょう性があるのです。
詐欺の成功率もアップ
一時期世をにぎわせたLINEアカウントの乗っ取りは、金銭の要求が目的でした。「友だち」になりすまし、「プリペイドカードを買って番号を教えて」とメッセージを送るというものです。
詐欺師としては、もしあなたに迷惑メールを送りつけて「困ってるからお金送って」なんて言ったらすぐバレますよね。知らない人から突然お金を送れなんて言われて、払う人はまずいません。
だから少し色をつけて「先月ご利用の有料サイトの代金を払わなければ法的措置をとります」などと脅しをでっちあげてみたとしても、しょせんはあやしい内容です。そもそもメールだったら、迷惑メールボックスに振り分けられてあなたの目に留まらない公算が高いでしょう。
しかし、本物の友達になりすませば、これまた信ぴょう性があります。詐欺の成功率がうんと上がるのです。
私の知人の職場では、LINEを乗っ取られた人と、その人から送信された「プリペイドカードの番号教えて」メッセージにひっかかってお金を払ってしまった人がいると聞きました。くわしくは後述しますが、こうしたアカウント乗っ取りは人間関係悪化の原因になったり、ともすれば職場にいられなくなるケースもあるようです。そういう苦いトラブルを避けるためにも、対策はしっかりしておきたいものです。
乗っ取ったアカウントから広がる、恐ろしい悪用価値
以前テレビで、「Yahoo! JAPANでためていたポイントが突然ゼロになったので乗っ取りに気付いた」という話を目にしたことがあります。勝手にゲームソフトを買われていた、というのです。まごうことなき詐欺被害ではありますが、ゲームソフト一つをかすめ取っただけなら小物のチンピラといった感じがしますよね。
しかし、アカウント乗っ取りには、それだけで終わらない独特の怖さがあります。一つのアカウントが次なる乗っ取りの足掛かりになり、犯罪が連鎖していくのです。
たとえば、LINEを犯人視点で見たらどうでしょう? まず誰でもいいから一人のアカウントを乗っ取り、友だちリストを開いてみれば、そこにはつながっている数十人、数百人が出てきます。それはいわば「名簿」なのです。リスト上の「友だち」に片っ端からメッセージを送り、そのうちの誰かがだまされ、電話番号と認証番号を教えてくれれば、もう一つアカウントを乗っ取れます。そうしたらそれを足掛かりに友だちリストを開いてまた片っ端から……というふうに、乗っ取りをくり返せるというわけです。
しかも、乗っ取りの連鎖だけではありません。犯人は、登録してあるすべての情報――あなたのID・パスワード、氏名、メールアドレス、住所、電話番号など詳細な個人情報はもちろん、誰とつながっているか、学校や職場、そして友達や同僚の氏名・電話番号・メールアドレス・誕生日、あなたの周りの人間関係、トークの一言一言まですべて――を見ることができます。何十人、何百人分の膨大な個人情報を、アカウント一つから一気に獲得できるのです。
一般人のアカウントから吸い上げた「名簿」には、たとえばオレオレ詐欺に活用するとか、犯罪グループに売るなど、乗っ取り犯のアイデア次第でたくさんの悪用価値があるのです。
なぜ”ハッカー”は一般人のごく普通なアカウントを乗っ取りたいのか?
被害に遭った人はしばしば、「私なんかのを乗っ取ってどうすんの? 有名人をねらえばいいじゃん!」と悲鳴を上げるものです。これはネットの世界のサイバー犯罪。大企業や有名人への攻撃に成功したほうが貴重な情報が手に入りそうですし、サイバー犯罪者の世界で名を上げられそうな感じがしますからね。
しかし現実には、アカウント乗っ取りなどをやっているのは小物の詐欺師やグループです。犯罪仲間からやり方を教わり、購入したツールを使って不正ログインを試みては小銭をかすめ取っているだけ。コンピューターの趣味と知識が行き過ぎた、いわゆる”ハッカー”ではないのです。
こうした乗っ取り犯がほしがっているのは、一般人が日常で使っているごく普通なSNSアカウントです。なぜなら彼らはターゲット候補をできる限りたくさん得て、コンスタントに犯罪利益をあげなくてはならないからです。大企業や有名人を攻撃するといったゲーム性は求めていません。どちらかといえば、捕まるリスクが高いので避けておきたいくらいでしょう。先に述べた通り、主な目的はなりすましですから、ターゲットは友達とごく普通の日常会話を送り合っているような一般人が好ましいのです。
以上のような犯罪目的に都合がいいのは、手っ取り早く乗っ取れる、セキュリティの甘いアカウント。だから、一般人こそ、セキュリティはしっかりしておいたほうがいいのです。
乗っ取り対策をすべき理由―被害者の気の毒なその後と後悔
以上、犯人の都合が分かったところで、今度は被害者の立場に立ってみましょう。「もし被害に遭ったら、その後どうなるのか」ということです。
SNSアカウント乗っ取り被害には、一点、他のどんな犯罪とも違った特殊性があります。それは、被害が自分ひとりの範囲にとどまらないということです。
もしスリに財布を盗まれたなら、金銭的損害を受けたのはあなた一人だし、「ああもう、ついてない! これからはもう少し気をつけよう」で済みます。スリが捕まったら、返せと言えます。どこをとってもあなたとスリ、一対一の関係です。
ところがアカウント乗っ取りの場合はどうでしょう。
もちろん、どこまで行っても悪いのは乗っ取り犯です。あなたが責任を問われることはありません。ただ、SNSのアカウント乗っ取りでは、「友達」という第三者に、実害が生じます。原因がいいかげんな管理にあったとしたら、「あんたのせいで私は金をとられた。しかも私の個人情報が犯罪組織へ流れたじゃないか。これから不安だよ、どうしてくれるんだ! パスワードが自分の誕生日で、しかも使い回しだと? 推測されにくいパスワードにしておくことくらいできただろう」というふうに、つながっていた人を怒らせてしまうことはあり得ます。こうなれば友人関係は破綻し、仕事では信用を失うでしょう。
さらに、乗っ取りに遭ったアカウントは、往々にして削除せざるを得なくなります。先ほど触れたラインを乗っ取られた人もそうで、アプリ内でやってきたことやアイテムなどをすべてを失い、つながっていた友人や同僚には謝ってまわり、ラインはそれきりやめてしまったそうです。削除となった場合、そのSNSだけでつながっていた人とは縁が切れてそれきりになります。
このように、SNSアカウントを乗っ取られると、大事な人間関係まで失ってしまいかねないのです。
……こんな悲しいことにはなりたくないじゃないですか。防げるものなら防ぎたいですよね。
アカウント乗っ取り対策は、どれもやってみればかんたんなことにすぎません。コンピューター関連に100%の安全はありませんが、リスクには雲泥の差が出ます。後味悪い破局を避けるためにも、できる対策はしておいたほうがいいのです。
SNS運営者の立場を知るとわかること
以上、ここまでは犯人と被害者の視点をみてきました。次にはSNSの運営会社の立場を考えてみましょう。
私は、スクリーンの向こうの運営者を理解し、意識していることは、デジタル時代を生きるすべての人にとって重要だと考えています。
「X/LINEとは何?」と聞かれて答えられますか?
近年、SNSはあって当たり前になっています。無料だということもあり、小さい子や若者からお年寄りまで、ひまさえあれば触っていますよね。
しかし、「そもそもX/LINEとは何か?」と問われたら……答えられますか? 案外むずかしくて、答えにつまってしまうのではないでしょうか。
「〈SNS名〉とは何か」という問いに対する解答で、外せないのは以下3つの項目です。
- 誰が運営する(=運営者)
- 何のサービスで(=サービスの内容)
- 運営企業はどうやって利益を出しているのか(=ビジネスモデル)
うち、3番のビジネスモデルを考えることは、実はとても大事です。SNSに限らず、危険な団体を見分けるバロメーターとして「運営資金の流れ」は必須項目だからです。悪質商法やカルト宗教にはたいてい後ろ暗い資金の流れがある……というアレです。
さて、現状、SNSは利用無料じゃないですか。……おかしいと思いませんか? ボランティアじゃあるまいし、利用者からお金が入らないんじゃ、会社として成り立たないはず。運営各社は世界中で大量な人員を雇っているけど、その給料はどこから調達しているの? ……答えが必要ですよね。
そこで、Xを先の3点に当てはめてみましょう。するとXの定義は、
- X, Inc.が運営する
- 短文投稿サイトで
- X上の広告収入およびツイートデータの販売等で利益を出している
といった感じに。よかった、不透明な資金の流れはありませんね。このように運営者・サービス内容・ビジネスモデルの3点を押さえれば、Xへの理解はぐっと深まります。フォロー、返信、リツイートや「いいね」といった機能は誰しもよく使っていますが、実は枝葉程度のものにすぎません。また、この定義から、私たちユーザーはX社にとって「お客様」ではないのだ、という立場関係も見えてくるでしょう。
同じように当てはめると、LINEは、
- LINEヤフー株式会社が運営する
- メッセージング(チャット、トークなどの呼び方もある)、無料インターネット通話などのサービスで
- 広告収入、アプリ内でのコンテンツ(スタンプやゲーム内の仮想アイテムなど)販売、関連サービス、提携企業からの収入等で利益を出している
と定義できます。
運営会社のしくみを知っておくべき理由
私がSNSそれぞれの定義を強調するのには理由があります。「それは何?」と聞かれて答えられないようなサービス上でぷかりぷかりと浮かんでいれば、遅かれ早かれ、大なり小なりうまくいかないことが出てくるからです。
運営会社に対する理解は、アカウントを開く時点で早くも効果を発揮します。XならX、LINEならLINEがいかなるものかを正確にとらえてはじめて、自分はそれが好きかどうか、自分にとって必要か、どんなふうに使っていくかを判断できるようになるからです。始めようとしている段階で「やっぱり自分にはいらないや」と判断したなら、その時点で無用な心配やトラブルを断つことができるのです。
また、利用を開始してからも、「<SNS名>とは何か」を知り、運営会社との立場関係や背景事情を把握できていれば、万が一の際ヘルプに問い合わせるにせよ何にせよスムーズでスマートなやりとりができるようになります。
さらに、少し別の角度で見てみましょう。「それが何なのか」よくわかっていないサービスを、特段の理由もなくダラダラと利用している――それって怖いことだと思いませんか? SNSのユーザー層があまりに広くなった今、プロの起業家やIT技術者とネット初心者の力量には圧倒的な差があります。それが何かをよく分からないままいじっていた初心者がかんたんに避けられたはずのトラブルに見舞われ、通じる言葉もなくバタバタしたら、煙たがられ、もう少し詳しい周りの人たちから「そんなことも知らなかったの?」とあきれられる。初心者はますます荒れて、「インターネット」や「スマホ」など「関係していそうなもの」を見当外れに恨みだす――そういう苦々しい場面が増えていると感じます。理想としては、SNSを利用し始める前にそれがどういったものか知るべきだし、また知る機会があるべきだと考えています。
「スクリーン越しに運営企業と向き合っている」という感覚を持つことが大事だと、私はこのブログでネット関係を扱うたびに強調してきました。運営者を知り、意識することこそが気持ちよいSNSライフへの扉だと思います。
なにもプロレベルにまで到達する必要はありません。使いながらでもいいから一歩一歩詳しくなっていき、いざというとき運営会社とコミュニケーションをとれるレベルの知識を身につけておくのは、SNSを利用する以上、誰もがしておくべき最低限の努力だと思います。
SNSは今後どうなっていく?
私はかねてより、インターネットという新しいテクノロジーに大きな可能性を見出してきました。しかし、SNSというサービス業には懐疑的です。正確には、過大評価されていると感じています。
確かに現状、影響力はあります。政治家の発言の場にもなっていますし、商品の宣伝やオフィスでの連絡手段をはじめ、ビジネスでも大規模に利用されています。
しかし、SNSの流行りはいつまで続くかわかったものではありません。浮き沈みも激しい業界です。
たとえば10年以上前、mixiというSNSが流行ったのを覚えていますか? 今では、存在すら知らない人のほうが多数ではないでしょうか。近年では、Facebookなどの経営陣にも、このままではどんどん下火になっていくという焦りがみられます。特にXはイーロン・マスク氏が買収して以来使いにくくなっていき、ユーザー離れが進みました。買収から1年で、Xの企業価値は旧Twitterを買い取った価格の半分足らずまで落ち込んでいます。
また、世界規模で普及するにしたがって、SNSはデマ拡散や誹謗中傷、ヘイトスピーチ、陰謀論の温床として問題視されるようになりました。運営会社には批判が集中しており、対応に追われているのが現状です。
道路や水道は、古代文明から存在する、人間にとって必須のインフラです。しかしSNSは、本質的には一企業のサービス業、しかもここ数年の流行にすぎず、代替手段もあるような代物にすぎません。政治家の発言なら議会や会見、ネット上だとしても自分のブログなどで行ったほうが、たった140字のツイッターよりクオリティを高くできます。商品を宣伝するにせよ手段はほかにいくらもあるし、オフィスでの連絡なら電話やメールで十分です。
割に合わない使い方は避けるのが吉
私はなにもSNSは使うべきではないとまで言っているわけではありません。私自身も利用しています。
ただ、そんな程度のものを流行りや遊びのつもりでなんとなくいじっているのと引き換えに自分をサイバー犯罪の危険にさらすとしたら、どう考えても割に合いません。ましてや、パスワードを使いまわしにしていたといったつまらないことで詐欺の被害を被ったり、人間関係を壊してしまったとなれば、深い後悔が残るでしょう。
X(旧Twitter)やLINEをはじめとするSNSは、自分自身をアカウント乗っ取りなど犯罪のリスクにさらすことがないよう、対策するところはしっかり固め、一投稿型サイトにすぎないことを頭の片隅に置いたうえで付き合っていくべきだと、私は考えています。
天下泰平の夢から覚めて、地に足のついたデジタルライフを
以上、はじめに実用的な乗っ取り対策を紹介し、続いて犯人の目的、被害者の視点、そしてSNS運営者の立場という観点から解説してきましたが、いかがだったでしょうか? 直接的な対策はもちろん、ネットセキュリティ全般への理解に役立ったなら筆者として本望です。
最後には、対策の一環にもなるので、日本人のネットセキュリティへの意識について指摘して結びたいと思います。
異常に低い、日本人のネットセキュリティ・プライバシーへの意識と関心
世界において、日本といえばテクノロジー大国として知られています。
にもかかわらず、日本人のオンラインセキュリティ・プライバシーへの関心は諸外国と比べて驚くほど低い、ということはご存知でしょうか?
私は人々の様子や話されていることからも日々そう感じているのですが、オンラインセキュリティサービス会社・NordVPNが世界192ヶ国、計48,063人を対象に行った国別調査結果はショッキングでした。同調査は世界的なデジタルライフでの行動、プライバシーへの認識、リスクに対する意識を把握することを目的としているのですが、日本はほとんどの項目で成績が悪く、100点満点中44.4点で世界平均65.2点を大きく下回りました。順位では、主要21ヶ国中なんと最下位だったというのです(National Privacy Test、2020年11月実施)。
私はそういう姿を目の当たりにするたび、日本はまだ心の中で鎖国していて、人々は「天下泰平」の夢の中なのだと悲しくなります。つまり、自分の周りのごく狭い人間関係にこもって生きていて、社会のことには無頓着。人生のうちで自分の身に降りかかってもおかしくないはずのトラブルであっても、現実味が感じられず、今日も明日も明後日もきっと同じ平和な日常が続くに違いない――何百年もの鎖国でしみついたそんな「感性」が、インターネットという新しいテクノロジーの場面でも表れているのだと思います。「アカウント乗っ取りなんて自分には関係ない。遭うのはどっかのものすごく運の悪い人だ」といった雰囲気を感じるのです。
しかし私は3つのことを指摘したいのです。
第一に、天下泰平は真っ赤なウソです。江戸時代は少しも平和ではありませんでした。盗賊や悪代官ならいくらもいたわけだし、人々は五人組という恐怖の監視システムのなかで息をひそめていたのが現実です。
第二に、天下泰平がうそなら、この世は猛烈に危険なところなのか? 人生とはサバイバルなのか? ……大げさじゃないですか。性善説では運ばないかもしれませんが、人間にはトラブルに対処する力がきちんと備わっています。
そして最後に、日本人はやらないだけで、できないわけではありません。力は十分持っています。
ネットセキュリティはスリ対策と変わらない
「ネット上には犯罪の危険がある」という話が持ち上がると、とたんに「インターネットはとにかく危ないから一切使うな」と極論に走る人が現れることは私もよく知っています。天下泰平が夢にすぎなかったと気づくと、いきなり「世界は危険なところだ」まで針が振れてしまうのです。
……地に足をつけましょうよ。思考停止に陥り、全面的にフタをすることで解決したような気分にひたるのは、天下泰平の幻想にこもることの一種にすぎません。
たとえば、世界万人みな善人だと信じていた人がこの世にスリというのが存在すると知ったとたん、一切のお金を持ち歩かなくなったとしたらどうなるでしょう? その人の生活は、たった数時間で破綻するに違いありません。
たかだかスリや詐欺師のために、自分をノイローゼにまで追い込むのか? 人間不信に陥り、この世はろくでもないところだと人生を悲観するのか? その先には破滅が見えているのに? これでは精神が不健全だし、思考のバランスもひどく悪いですよね。
極論に走ればやがて自らに破滅を招くのは、インターネットでも同じです。
「子どもにスマホを持たせるな」は「この世にはスリというものがいて危ないから、大人になるまで財布を持たせるな」というのと同じです。それでは子どもは金銭感覚を身に付けられず、大人になってからいきなり財布を持ったところで、コンビニで飲み物一つ買うのにも苦戦してしまうでしょう。
スリ対策といえば、バッグのチャックをしめておく程度のことです。決して面倒でもむずかしくもありません。ちょっとした心がけ程度のことで、みな日ごろから無意識的にやっているはずです。
SNSのアカウント乗っ取り対策も、そんなスリ対策と変わらないのです。やるのはかんたんです。やればできます。乗っ取りを100%防ぐ術はないかもしれませんが、リスクを劇的に下げることができるのです。
結びに:やれば始まる、安心なデジタルライフ
インターネットは新しいテクノロジーであり、SNSはそれ自体が新しい分野です。犯罪者がインターネットをどう悪用するか。SNSというサービスがどのような詐欺に転用され得るか。「アカウント乗っ取り」という新手の詐欺やそれへの対策方法を最初から知っていた人は、世界中でただの一人もいませんでした。
それでも今日では、ネットセキュリティ・プライバシーの知識はだいぶ蓄積され、体系化されたように思います。以上で述べてきた通り、それらは決してプロしか分からないむずかしいこと、手間ひまかかるめんどうなことではありません。あとはやりさえすれば、デジタルライフは目覚ましく安全安心になります。
ふり返ると、私の場合はセキュリティソフトの機能からずいぶんたくさんのことを学んだと思います。セキュリティソフトの画面を見て回ると、「WiFiの脆弱性スキャン」「データシュレッダー」「ウェブカメラシールド」など、ネットセキュリティやプライバシーを守る様々な機能が出てきます。こうした機能から、コンピューター上級者がどんな安全策を求めているのかをうかがい知ることができたのです。上級者の視点や考え方をまねていくことで、今ではオンラインセキュリティ・プライバシーの話は何を聞いてもついていけるようになりました。
読者のみなさんも何かをとっかかりにネットセキュリティ・プライバシーの大枠をとらえ、理解を深めていけるといいと思いますし、本稿がその助けになったなら筆者としてうれしく思います。
まだアカウントを乗っ取られていないなら、今のうちに対策を完了してしまうとよいでしょう。来た道をふり返って「よくあんな無防備でネットを使ってたな~」と冷や汗ふきながら苦笑いする時が、きっとまもなくやって来るはずです。
関連記事・リンク
著者・日夏梢プロフィール||X(旧Twitter)|Mastodon|YouTube|OFUSE
この記事はX(旧Twitter)やLINEのシステム変更、サイバー犯罪の変遷などに対応するためアップデートされることがあります。公開:2018年8月30日、最終更新:2024年5月28日 #X #Twitter #LINE
インターネットからの個人情報流出事件解説と、自分でできる対策
ネットで知り合った相手に会おうとしているあなたの防犯基礎知識
Mastodonの始め方と使い方―Threadsに代わる新SNSのすすめ
Discordのアカウント作成方法と使い方―招待されてやってみた感想と現状
スマート家電(IoT家電)のメリットとデメリットー使ってみた感想とセキュリティ対策
もう乗っ取られてしまった場合の公式ヘルプページ
以下のページからサポートに問い合わせられます。すでに乗っ取られた可能性がある人は、悪用される前に食い止めるため、1秒でも早く運営会社に連絡してください。