乗っ取られたら警察に届けるべき？

金銭的な被害が出た場合や、なりすましによる詐欺被害が広がっている場合は、警察に届け出ることをおすすめします。日本では各都道府県警察の「サイバー犯罪相談窓口」に相談できます。被害届を出すことで、捜査の対象になる可能性があります。金銭被害がない場合でも、記録として届け出ておくと、後から被害が判明したときに役立ちます。

非公開アカウントなら安全？

非公開 (鍵アカウント) にしても、乗っ取りのリスクは変わりません。非公開設定は投稿を見られる人を制限するだけで、パスワードが漏れればログインされてしまいます。フィッシングメッセージは DM やメールで届くので、公開・非公開に関係なく被害にあう可能性があります。非公開だからといって油断せず、二段階認証の設定とパスワードの使い回し防止は必ず行ってください。

乗っ取り犯は何が目的？

乗っ取り犯の目的は主に 3 つあります。1 つ目は詐欺の拡散です。あなたのアカウントを使って友達にフィッシングメッセージを送り、さらに多くのアカウントを乗っ取ります。2 つ目は広告・スパムの投稿です。偽の通販サイトや怪しいサービスの宣伝を、あなたのフォロワーに向けて投稿します。3 つ目は身代金の要求です。「アカウントを返してほしければお金を払え」と連絡してくるケースもあります。いずれの場合も、乗っ取り犯にとってあなたのアカウントは「道具」にすぎません。

SNS アカウント乗っ取りの手口と防ぎ方

この記事は約 11 分で読めます

ある朝 Instagram を開いたら、自分が投稿した覚えのない写真がアップされている。友達から「変なメッセージが届いたんだけど」と連絡がくる。パスワードを入力してもログインできない。これが SNS アカウントの乗っ取りです。「自分には関係ない」と思うかもしれませんが、実は毎日何千人もの人がこの被害にあっています。この記事では、乗っ取り犯がどうやってアカウントを奪うのか、乗っ取られるとどんな被害が起きるのか、そしてどうすれば防げるのかを、できるだけわかりやすく説明します。Instagram、X、TikTok など、どの SNS を使っていても役に立つ内容です。二段階認証という強力な防御方法についても紹介するので、ぜひ最後まで読んでください。

SNS アカウントが乗っ取られるとどうなる？

勝手に投稿される

乗っ取り犯がまずやることは、あなたのアカウントを「自分のもの」にすることです。パスワードを変更し、登録メールアドレスを書き換え、あなたがログインできない状態にします。そのうえで、あなたのアカウントから勝手に投稿を始めます。よくあるのは、怪しい通販サイトの広告や、「簡単に稼げる」系の詐欺投稿です。あなたのフォロワーは、あなたが投稿したと思って信用してしまいます。実際に 2024 年には、ある高校生の Instagram アカウントが乗っ取られ、偽のブランド品販売サイトの広告が 1 日に 20 件以上投稿されたケースが報告されています。

友達に詐欺メッセージが送られる

乗っ取りで一番やっかいなのは、あなたの友達に被害が広がることです。乗っ取り犯は、あなたのアカウントから友達全員に DM (ダイレクトメッセージ) を送ります。「このリンクを見て！」「ギフトカードが当たったよ！」「急いでログインして！」といった内容です。友達はあなたからのメッセージだと思ってリンクをクリックし、そこで自分のパスワードを入力してしまいます。これがフィッシングと呼ばれる手口で、1 人のアカウントが乗っ取られると、そこから芋づる式に友達のアカウントも次々と乗っ取られていきます。実際に、ある中学校では 1 人の生徒のアカウントが乗っ取られたことをきっかけに、同じクラスの 8 人が連鎖的に被害にあったという事例もあります。

乗っ取りの主な手口

フィッシングとパスワード使い回し

乗っ取りの手口で最も多いのが、フィッシングです。「あなたのアカウントに不審なログインがありました。今すぐ確認してください」「利用規約に違反しています。24 時間以内に確認しないとアカウントが停止されます」といったメッセージが DM やメールで届きます。焦ってリンクをクリックすると、本物そっくりのログインページが表示されます。ここにパスワードを入力してしまうと、その情報がそのまま乗っ取り犯に送られます。本物の Instagram や X のログインページと見分けがつかないほど精巧に作られているので、URL をよく確認することが大切です。正規のページなら「instagram.com」や「x.com」で始まりますが、偽物は「instagram-security-check.com」のような紛らわしいアドレスになっています。フィッシングの見分け方と対策については、フィッシング対策ガイドでさらに詳しく解説しています。

もう 1 つの大きな原因が、パスワードの使い回しです。たとえば、あるゲームサイトから会員情報が流出したとします。そのゲームで使っていたメールアドレスとパスワードの組み合わせが、Instagram でも同じだったらどうなるでしょうか。乗っ取り犯は流出したデータを使って、Instagram、X、TikTok、メールなど、あらゆるサービスに片っ端からログインを試みます。これはセッションハイジャックとは異なる手口ですが、結果として同じようにアカウントを奪われてしまいます。1 つのサービスでパスワードが漏れただけで、芋づる式にすべてのアカウントが危険にさらされるのです。だからこそ、サービスごとに違うパスワードを使うことが、乗っ取り対策の基本中の基本です。

乗っ取られないための対策

二段階認証を設定しよう

乗っ取りを防ぐ最も効果的な方法は、二段階認証 (2FA) を有効にすることです。二段階認証を設定すると、パスワードを入力した後にもう 1 つの確認ステップが追加されます。たとえパスワードが漏れても、2 つ目の確認をクリアできなければログインできません。二段階認証の仕組みや種類について詳しく知りたい方は、二段階認証の解説記事も合わせてお読みください。主要な SNS での設定方法を紹介します。

Instagram の場合は、プロフィール画面の右上にあるメニュー (三本線のアイコン) を開き、「設定とプライバシー」→「アカウントセンター」→「パスワードとセキュリティ」→「二段階認証」の順にタップします。認証アプリ (Google Authenticator など) を選ぶのがおすすめです。SMS (ショートメッセージ) でも設定できますが、認証アプリのほうが安全性は高いです。

X (旧 Twitter) の場合は、左上のプロフィールアイコンをタップし、「設定とサポート」→「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」→「2 要素認証」の順に進みます。X では 2023 年から無料ユーザーの SMS 認証が廃止されたため、認証アプリを使う必要があります。TikTok の場合は、プロフィール画面の右上にあるメニュー (三本線のアイコン) を開き、「設定とプライバシー」→「セキュリティ」→「2 段階認証」の順にタップします。SMS または認証アプリを選択できます。どの SNS でも、設定にかかる時間は 5 分もかかりません。たった 5 分の作業で、アカウントの安全性が大幅に上がります。

乗っ取られたときの対処法

あわてずにやることリスト

もし乗っ取られてしまっても、あわてないでください。やるべきことを順番にこなせば、被害を最小限に抑えられます。まず最初に、パスワードを変更してください。まだログインできる状態なら、設定画面からすぐにパスワードを変更します。ログインできない場合は、「パスワードを忘れた場合」のリンクから、登録メールアドレスや電話番号を使ってパスワードをリセットします。

次に、すべてのログインセッションを解除します。Instagram なら「設定とプライバシー」→「アカウントセンター」→「パスワードとセキュリティ」→「ログインの場所」から、自分以外のセッションをすべてログアウトできます。X や TikTok にも同様の機能があります。これにより、乗っ取り犯が現在ログインしている状態を強制的に切断できます。

最後に、SNS の運営に報告します。Instagram は「設定とプライバシー」→「ヘルプ」→「問題を報告」から、X は「設定とサポート」→「ヘルプセンター」から報告できます。乗っ取り犯がメールアドレスを変更してしまい、自分ではパスワードリセットもできない場合は、運営への報告が唯一の回復手段になります。報告の際は、本人確認のために身分証明書の写真を求められることもあります。また、友達にも「アカウントが乗っ取られたので、自分からの DM は開かないで」と別の手段 (LINE や電話など) で連絡しておきましょう。SNS 以外のアカウントも含めた包括的な対応手順については、個人向けインシデント対応ガイドが役立ちます。

今すぐできること

Instagram、X、TikTok の二段階認証を今すぐ有効にする。設定画面の「セキュリティ」から 5 分で完了する
SNS で使っているパスワードが他のサービスと同じでないか確認する。同じものがあれば、すぐに変更する
「ログインしてください」系の DM やメールが届いても、リンクをクリックせず、自分でアプリを開いて確認する習慣をつける
パスつく.com でサービスごとに違う強力なパスワードを生成する。覚えられない場合はパスワードマネージャーを使う

SNS の安全対策についてもっと詳しく知りたい場合は、SNS セキュリティの関連書籍 (Amazon)も参考になります。

よくある質問

乗っ取られたら警察に届けるべき？: 金銭的な被害が出た場合や、なりすましによる詐欺被害が広がっている場合は、警察に届け出ることをおすすめします。日本では各都道府県警察の「サイバー犯罪相談窓口」に相談できます。被害届を出すことで、捜査の対象になる可能性があります。金銭被害がない場合でも、記録として届け出ておくと、後から被害が判明したときに役立ちます。
非公開アカウントなら安全？: 非公開 (鍵アカウント) にしても、乗っ取りのリスクは変わりません。非公開設定は投稿を見られる人を制限するだけで、パスワードが漏れればログインされてしまいます。フィッシングメッセージは DM やメールで届くので、公開・非公開に関係なく被害にあう可能性があります。非公開だからといって油断せず、二段階認証の設定とパスワードの使い回し防止は必ず行ってください。
乗っ取り犯は何が目的？: 乗っ取り犯の目的は主に 3 つあります。1 つ目は詐欺の拡散です。あなたのアカウントを使って友達にフィッシングメッセージを送り、さらに多くのアカウントを乗っ取ります。2 つ目は広告・スパムの投稿です。偽の通販サイトや怪しいサービスの宣伝を、あなたのフォロワーに向けて投稿します。3 つ目は身代金の要求です。「アカウントを返してほしければお金を払え」と連絡してくるケースもあります。いずれの場合も、乗っ取り犯にとってあなたのアカウントは「道具」にすぎません。

この記事は役に立ちましたか？

パスワードを生成する →