こんにちは、サチヲです。

あなたは『独立行政法人情報処理推進機構(IPA)』をご存じでしょうか。
日本のデジタル化を推進する公的機関で、英語表記は「Information-technology Promotion Agency, Japan」で、略称は「IPA(アイピーエー)」です。
経済産業省が所管する独立行政法人として、安全で信頼できるデジタル社会を目指し、主に『1.情報セキュリティ対策の強化 2.情報セキュリティ対策の強化 3.情報システムの信頼性向上とデジタル基盤の整備』といった情報処理技術に関する様々な活動を通じて、日本の情報化社会の基盤整備や産業競争力の強化に貢献しているのです。
といった感じに、そもそも「IPAは怪しい…」と思われては元も子もないので詳しく説明しました。
もっと知りたい方は、こちらがIPAの『IPA公式サイト』になります。
正直!!私のブログは見ないで…このIPAサイトを一読していただければ防御策としては最高です!!そのくらいめちゃくちゃ有益なサイトです。

さて、気を取り直して…先ず危機感をというコトで数を見てみましょう。
どれだけ被害が出ているのか、IPA調べで共有させていただきます。
ちなみに『SNS乗っ取り』という単一の統計項目は少なく、多くの場合『不正アクセス』『不正ログイン』の一部として集計されています

【SNS乗っ取り】『手口とその対策』 | 「私に限って…」と私自身も思っていますが、そうもいかないようです。知っておく…だけでも防御となります。

不正ログイン相談や不正アクセス検挙の増加傾向
  • 2024年第1四半期(1月~3月)の「不正ログイン」に関する相談件数は149件で、前年同期(74件)と比較して約2倍に増加しています。
  • 特に、2025年7月には、不正ログインに関する相談が月間で過去最多の144件となり、その多くがInstagramやFacebookなどのSNSアカウントに不正ログインされ、自身でログインできなくなったという内容でした。
  • 2024年上半期(デジタルアーツのレポート)では、企業のセキュリティインシデントにおける「SNSアカウント乗っ取り」が、2023年下半期と比較して3倍以上に増加したという報告もあります。

不正アクセスについては警察庁の統計です。

  • 不正アクセス行為の認知件数は、近年増加傾向にあります。例えば、令和5年(2023年)の認知件数は、前年(令和4年)と比較して約3倍に増加したという速報があります。
  • 不正アクセス行為の検挙件数のうち、約90%以上が**「識別符号窃用型(IDやパスワードを盗用する手口)」**であり、これはSNS乗っ取りを含む、幅広い不正ログインの手口を示しています。(令和6年)

先ずは手口です!!(2025年9月17日更新情報)

  1. SNSでつながっている知り合いから「投票してほしい」といった内容のダイレクト・メッセージ(以下DM)が届き、やり取りする過程で電話番号を教えてしまう。
    ポイントは、DMを送ってきた知り合いのアカウントは実際には“既に”乗っ取られている”というコトです。
  2. ショートメッセージ(SMS)で認証コードが届き、そのコードをDMの送り主(攻撃者)に教えてしまう
  3. そのコードを使って不正にSNSアカウントにログインされ、パスワードが変更されてしまう
  4. 結果として自身ではログインできなくなる
  5. そのアカウントを悪用されて、投資などを勧誘するメッセージ送信や投稿をされる

乗っ取られた場合の対処法

  • 自分でログインできる場合はすみやかにパスワードを変更し、自分の情報を正しいものに修正する
  • ログインできない場合は、各サービスで案内されている手順に従って問い合わせをする

乗っ取られないための対策

  • パスワードはできるだけ長く複雑なものにし、他サービスと違うものにする
  • 多要素認証を設定する
  • 手口で紹介したような不自然なSMSメッセージは無視する
  • 利用できるサービスではパスキーを設定する

まだFacebookが盛んだった頃…2017年11月8日更新情報も載せておきます。

手口

  • FacebookやTwitterアカウントのID・パスワードを盗まれ、勝手にログイン、操作されてしまう。
    サービス別のなりすまし被害例
     Facebook:友人にスパムイベントの招待を送り、偽ショッピングサイトなどに誘導する
     Twitter:勝手にスパムメッセージをツイートする
     Apple:バックアップした連絡先や写真を漏洩
     Google:勝手に迷惑メールを送る

対策

  • 他サービスで使っているパスワードを使わない
    1つのサービスで使っているパスワードが漏洩した場合に、他のサービスでも被害に遭わないようにサービスごとにパスワードを変える
  • 安全なログイン方式を使う
    各サービスが提供している「2要素認証」を使うと、ID・パスワードに別の認証が加わるので安全です。
    例えば、ログインの度にスマホのテキストメッセージで数字が送られてきて、その数字を入力するとログインに成功するという方式です。
    具体的な設定は各サービスにより異なりますので、以下のページを参考にしてください。
  • Facebook:https://www.facebook.com/help/413023562082171/
  • Twitter:https://support.twitter.com/articles/20170432
  • Apple:https://support.apple.com/ja-jp/HT204152
  • Google:https://www.google.co.jp/intl/ja/landing/2step/
  • 不用意にサービス連携をしない
    SNSアカウントと連携するサービスは便利ですが、知らずに危険なサービスと連携してしまい、勝手にメッセージを送られてしまうという事例も発生しています。

乗っ取られた時の対処方法

  • パスワード変更をする
  • 乗っ取られたことを自分のウォールで報告し、二次被害を防ぐ
  • それ以外については状況により異なったり、サービスの仕様変更により対処方法が変わることがありますので、「○○(サービス名)」「乗っ取り」「対処」といったキーワードで対策方法を検索することをおすすめします。

最後に

かく言う私めは、実在する企業やサービスになりすまし、偽のウェブサイトへ誘導する『フィッシング詐欺』にかかりました。
Amazonそっくりのメールが届き、なんの不信感もなくパスワードを教えてしまいました…。
速攻で、クレジットカードを止めて番号変更の手続きをして実害はなかったのですが、対応が次の日だったら…考えるだけで怖いです。

改めて、いちばん最初にある『IPA公式サイト』にはもっともっと事例とその対処法がありますので、一度目を通すだけでもどうぞ。

ではまた。