有名人だけではない！アカウント乗っ取りの恐怖と対策
<ネット時代に必要な企業防衛の極意 vol.40>

昨今のサイバー攻撃強化で改めて注目度が高まっているセキュリティ対策。2022年4月に施行された改正個人情報保護法でも、個人情報の利用や提供に関する規制が強化されています。一方で、ネット上の情報漏洩や誹謗中傷といった事例も近年、急増しています。当コラムでは、こうしたネット上のリスクや対応策について詳しく解説します。
※本記事は、会報誌『BIZUP Accounting Office Management Report』vol.144（2025.10）に掲載されたものです。

---

弁護士法人戸田総合法律事務所 代表
中澤 佑一 先生

先日、人気タレントのInstagramが乗っ取られ、不正アクセス禁止法違反で男が逮捕されたというニュースがありました。たまたま有名人が被害に遭いましたが、アカウントの乗っ取りは、フォロワー数が多いなどアカウントに価値があるから狙われるというよりも、そのアカウントを利用して詐欺をするなど、他人の名義で悪事を働くことが主な目的です。したがって、これは決して他人事ではなく、誰でも被害に遭う可能性があります。特に、経営者やビジネスパーソンにとって、SNSアカウントはビジネスの信頼を左右する重要な資産です。今回は、アカウント乗っ取りの手口と被害防止策、そして万が一被害に遭ってしまった場合の対応について解説します。

アカウント乗っ取りの手口と被害防止策

アカウント乗っ取りは、パスワードなどの認証を突破することで行われます。代表的な手口としては、SNSプラットフォームを装った偽のメールやメッセージで、パスワードや個人情報を入力させるフィッシング詐欺があります。また、過去に流出したIDとパスワードの組み合わせを試すパスワードリスト攻撃も多く見られます。適切なパスワードを管理することは基本ですが、ログイン時にパスワードだけでなく、スマートフォンに送られる認証コードなどを利用する二段階認証は最も有効な対策の一つであり、必ず設定するようにしてください。

一方で、二段階認証でも利用される携帯電話番号を逆手に取った乗っ取りの手口もあります。知人のアカウントからダイレクトメッセージで何らかのキャンペーンへの参加を促され、必要だからと携帯電話番号を教える。その後、携帯電話番号に認証コードが届き、それも教えてしまうと、乗っ取りは完了します。この場合、知人のアカウントはすでに乗っ取られており、最初から乗っ取りが目的だったというのが典型例です。携帯電話番号がログインIDとして機能しているアカウントもあるため、認証コードを教えてしまっただけでログインされてしまうのです。認証コードは絶対に他人に教えないでください。

被害に遭ってしまったら

乗っ取られたアカウントは、その信用性を利用して周囲のアカウントにも乗っ取りのためのメッセージを送信するなど、二次被害を引き起こす可能性があります。そのため、早期に対応しなければなりません。

まず、アカウントを取り戻すには、各SNSのヘルプページを参照し、アカウントの復旧やパスワードのリセットを行います。アカウントの復旧には本人確認が必要ですが、乗っ取り犯がパスワードだけでなく、登録されている電話番号やメールアドレスも変更してしまうと、本人であることを証明することが非常に難しくなります。できるだけ早く対応することが重要です。

復旧が難しい場合は、SNS上でつながっている友人たちに二次被害が及ばないよう、ダイレクトメッセージが来ても無視してほしいと注意喚起を早急に行いましょう。なお、弁護士である筆者は、被害者の方から依頼を受け、乗っ取られたアカウントの復旧を求める裁判を行い、裁判の中で本人であることを証明して復旧させたこともあります。しかし、これには手間も費用もかかりますので、通常はなかなか難しいのが現実です。何よりも、被害を未然に回避することが最も重要だと言えます。