特集
深刻さ増す「アカウント乗っ取り」~玄人だっていつかは引っかかる。だからもう一度、対策を真剣に考えてみた
2025年6月6日 06:12
オンライン銀行口座からお金がいつの間にか引き出されていた。自分が知らぬ間に通販サイトで買物され、請求だけがクレジットカートに回ってきた。自分が投稿していない内容が勝手にSNSへ投稿された……これらは「アカウント乗っ取り」が疑われる事例だ。
2025年、このアカウント乗っ取り被害が深刻さを増している。今春、証券口座の乗っ取りに関する報道が一般マスコミの間で広がったことは多くの方がご存じだろう。IT界の隅で起こる些末なトラブル……という時代は終わり、社会問題として扱われるフェーズに入ってきている。
アカウント乗っ取りが一度発生すると、その回復には多大な手間とコストが発生する。そうならないよう、何をすべきか。最新状況を整理しつつ、改めて対策を考えようというのが本稿の趣旨である。
「アカウント乗っ取り」のこれまでと現在~2025年は証券口座の被害が深刻に
アカウント乗っ取りは今に始まった問題ではない。たとえば、セキュリティ問題などを取り扱う僚誌・INTERNET Watchの過去記事を検索してみると、古いものでは2008年9月、Yahoo!オークションにおいて乗っ取りアカウントによる不正出品被害があったことを報じている。
2014年6月には、LINEにおいてアカウント乗っ取り被害が増加しているとのことから、注意喚起メッセージが発せられた。
そしてコロナ禍の2020年7月には、米国において著名人のTwitter(現X)アカウントが乗っ取られ、「暗号通貨を送れば倍になって戻ってくる」旨が発信される事例があった。フォロワー数が多いアカウントという影響もあるのだろうが、1,200万円が実際に送金されたという。
2025年現在、乗っ取り被害で特に問題視されているのが証券口座だ。株式や投資信託を集約しておくための口座が乗っ取られ、第三者によって資産が勝手に売買されてしまうという。被害内容も凄まじい。まず乗っ取り口座で中小規模の株式を大量購入して株価をつり上げる。そこで犯罪者は、元々持っていた割安株式を売り抜けるという、一種の相場操縦が行なわれているとの見方が強いとされる。
被害拡大の裏付けとなる数字もある。金融庁が被害状況をとりまとめた数値によれば、不正アクセス件数は2月単月で2社/33件であった。これが3月には5社/687件へと一気に拡大。そして4月には9社/3,505件にまで激増した。実にショッキングなデータだ。
そして5月2日。証券会社らで構成される業界団体の日本証券業協会は、顧客の証券口座乗っ取り被害が相次いでいることを受け、大手10社が被害補償を行なうと発表した。アカウントの不正利用で損害が発生しても、証券会社側は利用規約等でその責任を負わないとするのが一般的だ。にも関わらず補償する。それだけ、関係者の危惧や懸念が広がっているということだろう。
SNSアカウントの乗っ取りも大きな問題だ。著名人、経済評論家、証券会社関係者を自称するアカウントが、LINEやXで投資勧誘メッセージを無秩序に発して回るという例はこれまでにあった。本人の写真などを無断転載して巧みに欺こうとするが、あくまで勝手に作られたアカウントではあった。
しかし、フォロワー100万人超えのアカウントが乗っ取られ、そこから発信されるとどうなるだろう。前述した2020年米国の例ではないが、もし日本国内の人気タレントのSNSが乗っ取られ、ファンであろうフォロワーにDM(ダイレクトメッセージ)が届いた時、冷静に対処できるだろうか。
もちろん一般人のSNSアカウントでも、乗っ取られれば大問題だ。投稿内容を精査すれば、住所や人間関係は特定されてしまう。また、SNSアカウントと別サイトのログイン情報を関連付けておくと、当該SNS以外のサイトに不正ログインされてしまう可能性もある。
なぜ乗っ取られる?~フィッシング、パスワード使い回し以外にも「インフォスティーラー」の影
では、どういった経過で乗っ取りは発生するのだろうか? 交通事故や特殊詐欺の原因をたった1つに絞り込むことができないように、乗っ取りの要因も複数考えられる。
一応の主流とみられるのが、フィッシングだ。本物のサイトを装って、メールやSMS(携帯電話ショートメッセージ)を不特定多数に送信する。この際「荷物を配達したが不在だったので再配達手続きをしてほしい」、「プレゼントが当たったが手続きしないと受け取れない」、「料金滞納が発生しており、このままでは取引が停止する」など、多少の危機感を煽るというの常套手段である。
詐欺メールやSMSに書かれたURLをクリックすると、偽サイトへ遷移する。ここで本来使っていたIDやパスワードを入力してしまうと、詐欺は成功ということになる。犯罪者は入手したIDとパスワードで正規サイトにログインし、意のままに振る舞う。
もう1つ考えられるのがパスワードの使い回しだ。「パスワードが覚えきれない」などの理由で、普段利用する通販サイト全てで同じパスワードを登録してしまっている方は、実際には少なくないだろう。
この場合、前述のフィッシング詐欺でIDとパスワードが一旦漏れてしまうと、全ての通販サイトへ不正ログインされてしまう可能性が高まる。フィッシング詐欺でなくとも、通販サイト側のデータベースがサイバー攻撃を受け、ユーザーの行動とは無関係にパスワードが流出するケースは現にある。ユーザーの責任ではないかもしれないが、それでも不正アクセスの可能性を高めるのが、使い回し問題の根深さだ。
パスワード漏洩を巡っては、筆者には苦い経験が2度ある。最初は2011年、ゲーム機「PlayStation 3」で利用するPlayStation Networkのアカウントが、サイバー攻撃で漏洩した事件。恥ずかしながら筆者、この時点ではいくつものサービスでパスワードを使い回していた。
漏洩パスワードはハッシュ化されていた(つまり、平文保存ではない)とのことだが、使い回しの危険性を目の当たりにする機会となった。結局、このあと数週間かけて、利用しているサービスのパスワードをほぼ全て使い回しのないものに変更した記憶がある。
そして2018年。全国展開するショッピングモール「プレミアム・アウトレット」のメールマガジン「ショッパークラブ」において、配信登録用ユーザーIDとパスワードが漏洩した。筆者はこのメールマガジンに登録していたが、正直なところ、漏洩発表の段階では影響がよく分からなかった。
しかし後日(半年後だったが数年後だったかは失念)、ある詐欺メールが届いた。そのメールの送信者欄には、ショッパークラブに登録していたパスワードがわざわざ記載されていた。なんとかして欲しくば金銭を送れ、という。
詐欺メール本文にはショッパークラブとは一言も書いてなかった(はず)。だが、パスワードを使い回していなかったので、逆説的にショッパークラブからの漏洩だと類推できたのだ。これは相当ショックで、心身に堪えた。発覚から実際の詐欺メール到着まで、時間がかかったのも薄気味悪さを増長させた。
そこからはもう不安な日々が続いた。影響がないであろう数百件分のパスワードも含めて、またチマチマと変更しはじめたことを今でも記憶している。
ITセキュリティ意識が高いし、パスワードを使い回していない。だから絶対に大丈夫だ、という方でも油断はできない。手口は日を追って悪質化している。たとえば「リアルタイムフィッシング」をご存じだろうか。
不正アクセスを抑止するために、多くのサイトでは2段階認証(多要素認証)が用いられている。ログイン試行時、ID/パスワード認証が完了した後、メールやSMSでワンタイムパスワード(1回だけ使える暗証番号)をユーザーに届け、ログイン確認として入力する方法だ。これであれば、アカウントにそもそも登録しているメールアドレスや携帯電話を正しく所持/管理できている人物でなければ、最終的にログインできない。
だがリアルタイムフィッシングでは、偽サイトでID/パスワードがされた瞬間に、犯罪者がそのID/パスワードを用いて正規サイトへログイン試行する。ユーザーには適当な画面を見せて待たせておき、この間にユーザーへ通知されたワンタイムパスワードもまた偽サイトに入力させる。ワンタイムパスワードの有効期限は一般的に10分~30分程度だが、この手法なら不正ログインは成功し得る。
ほかには、不正ソフト「インフォスティーラー」の介在を指摘する声も多い。コンピュータウイルスとかマルウェアとか呼ばれる悪質ソフトの一種だ。バックグラウンド動作して情報を詐取し続けるマルウェアとしては「スパイウェア」の名がよく知られるが、インフォスティーラーはより広範な情報を狙うのが特徴とされる。
クレジットカード番号のような分かりやすいものだけでなく、Webブラウザ上でのユーザー識別に用いるcookie、APIキーなども詐取の対象とされる。とにかく数多くのデータを集め、その中から使えるものを抜き出し、第三者に売る行為も多いという。
乗っ取られるとどうなる?慌てず、しかし急いて対処しなければならないのがツラい
もし、本当にアカウントを乗っ取られると、どうなるだろうか。幸いにも筆者はまだ乗っ取り被害に遭遇したことはないのだが、金銭的損害はまず想定される。オンラインバンキングのアカウントを乗っ取られれば、現金はまず間違いなく流出するだろう。通販サイトであれば、勝手に買物をされてしまう。
そうした経済的損失はもちろんだが、被害者の声を聞くに、回復措置にかかる時間的コストに頭を抱える方も多いようだ。たとえば、以下のような作業/手続きをしなければならない。
- アカウントやサービスの利用一時停止措置をとる
- 端末に悪質なソフトがインストールされていないかの確認
- (パスワードを使い回していた場合)乗っ取り被害がまだ発生していないサービスにおけるパスワードの再設定
- サービス利用再開に向けた各種申請手続き(アカウントに紐付いたクレジットカード番号の再取得等)
- 警察など関係機関への届出
- (主にSNSアカウント乗っ取り時)フォロワーへの告知
これらの手続きを、半日~数日というごく短いスパンで行なわなければならないというのも、心労に繋がるだろう。なぜなら、急がないと被害が拡大してしまうからだ。しかし急いでいるからこそ冷静な判断ができず、たまたま関連しそうなフィッシング詐欺メールに引っかかったりするかもしれない。
被害拡大防止として、具体的にはどんな作業に直面するのだろうか。一例として楽天証券をみてみると、もし不正アクセスが発生したと考えられる場合、24時間自動受付のフリーダイヤルへ電話すると、各種操作のロックが行なえる。また、被害を申告するための有人電話窓口が別途用意されている。
SNSのXはどうか。サポートページには、アカウント乗っ取り時の対処手段についてまとめられている。まずはパスワード変更、そして紐付けてあるメールアドレスの確認、サードパーティアプリケーションの連携取消などが推奨されている。ただし、乗っ取り後にメールアドレスなどが変更されてしまうと、サポート窓口への連絡が必須となるようだ。
被害に遭わないための対策は?
では、乗っ取り被害を防ぐためには何をすべきか。極めて一般的なITセキュリティ対策とも通底するので、IT中~上級者には新鮮味が薄いだろうが、改めて確認しておきたい。
2段階認証(多要素認証)を利用する
サイトの認証とログインにあたって、IDとパスワードの2つに加え、さらに別の認証手段を加えているという方法だ。ワンタイムパスワードを別経路で入手しなければならないため、パスワードが漏洩してしまっても不正ログイン防止には一定の効果がある。前述のリアルタイムフィッシングなども発生している以上、完璧な防衛手段とは言えないが、それでもフィッシング対策として利用した方がベターなのは間違いない。
たとえばAmazonでは、新しいPCやブラウザなどからログインした場合、登録したメールアドレスにワンタイムパスワードが届くので、これを追加で入力する。これに加え、セキュリティ関連メニューから任意で設定すれば、携帯電話のSMS、ワンタイムパスワード取得アプリを利用することもできる。
注意したいのは、ワンタイムパスワードを取得するための手法を紛失したり、解約しないことだ。もしワンタイムパスワードの送り先を携帯電話のSMSにしていて、その状態で携帯電話が手元からなくなると、途端に面倒なことになってしまう。常時持ち歩く端末で受信できるようにしておきたい。また事業者によっては、万一のトラブルに備えて予備パスワードを出力できるようにしているケースがある。
パスワードを使い回さない、簡単なものにしない
パスワードを「12345678」や「password」のような簡単なものにしておくのは、さすがにもう論外。そして何より、複数のサービスを1つのID(メールアドレス等)で登録するなら、パスワードは各サービスごとに必ず違う値にしたい。使い回しすれば普段は便利だが、トラブル発生後の対応難度が何倍にもなるからだ。
パスワードは英単語のようなものにせず、記号や数字を組み合わせたランダムなものがよいとされる。ただ、そうした値を頭の中だけで突然考え出せるかというと、それもまた難しい。
こうした場合、パスワードを生成できるWebサイトを利用するといいだろう。セキュリティソフトで知られるトレンドマイクロは、そうしたサービスを公開している。
字数、記号の有無などを選べば、あとはボタンを押すたびにパスワード候補をドンドン出力してくれるので便利。こうしたサービスのおかげで、最近の筆者はパスワードをなるべく長く、具体的には12~16文字くらいにするよう心がけている。「もしかしたらウラがあるかもしれない」と不安なら、パスワードを複数取得してコピー&ペーストで合体させるとか、工夫しよう。
ブラウザやOSに統合されたパスワードマネージャーを使う
「複雑なパスワードをサイトの数だけ覚えておくなんて無理だ」という声もあろう。だが近年は、パスワードを一元管理するための「パスワードマネージャー」ソフトが急速に発展してきている。Edge、Chrome、FirefoxなどWindowsでおなじみのブラウザにはもれなく機能統合されており、無料で利用できる。
筆者がAndroidスマホを常用している影響もあるが、Chromeのパスワードマネージャー機能は本当に便利だ。ChromeにGoogleアカウントでログインすれば、複数のデバイス間でIDとパスワードがクラウド共有される。また専用サイトへログインすることでもIDとパスワード一覧を参照できる。
このクラウド共有のおかげで、デバイスを変えるごとにパスワードを入力する手間が最小限になる。正直なところ、サイト別にパスワードを完全に変えられるのは、パスワードマネージャーあっての話だ。なおiOSにはiCloudキーチェーンというパスワードマネージャーがある。
一方、パスワードマネージャーにパスワードを集積させるのが危険との指摘もある。Chromeのパスワードマネージャーなら、大元のGoogleアカウントが乗っ取られれば、全てのIDとパスワードが流出し得る。
ただ2段階認証の項でも若干触れたが、だからといってパスワードの使い回しを継続すべきかといえば、それもまた違うだろう。パスワード管理用の紙手帳を落ち歩くという手もあるが、それはそれで紛失の危険を伴う。パスワードマネージャーの構造をしっかり理解し、危険性を認識した上で使うべきと筆者は考える。
メール本文のURLは、よほどのことがない限りクリックしない
フィッシング被害を防ぐには、偽サイトにそもそもアクセスしないことが重要だ。ここはもう、手元に届く全てのメールに対して慎重になって、最初からもう「メール文中のURLは絶対にクリックしない」くらいの心構えをしてもよいかもしれない。
一応筆者は「サイト会員登録時に届くメールアドレス実存確認メール、通販サイトで注文した直後に届くメール以外は、本文を開いてもよほどのことがない限り文中URLはクリックしない」という方針で臨んでいる。稀にサービスのリニューアルを告知するメールなどが届いても、メール件名でGoogle検索して、当該サービスのサイトで公開されている記事を探すようにしている。
……と、息巻いてはいるものの、普段から利用している通販サイトから、お気に入り登録した商品のセール通知などが来たときはURLや商品画像をついついクリックしてしまっている。言うは易く行なうは難し。ただ、それでも普段から意識しているかどうかは、被害の最小化に繋がる(と信じたい)。
パスキーなど先端セキュリティ機能を使う
パスワードを使わない新たな認証手法として、少しずつ広がりを見せているのが「パスキー」である。指紋、顔などの生体情報、あるいはパスワードとはまた別のPIN値(4桁程度の数列)で認証を行なう。ただし、利用できるのはWindows 11、Android、iOS(iPhone)などのパスキー対応端末上で、かつパスキーに対応しているサービス限定となっている。
これらにより、たとえばWindows 11のWebブラウザで、パスキー対応サイトであるYahoo! JAPAN(Yahoo! JAPAN ID)へ、パスワード入力なしにログインできる(ID入力は必要)。具体的には、Windowsのログインに設定しているPINを入力するか、Windows Hello対応の指紋ないし顔認証センサーを経由することとなる。
なお、パスキーは各端末ごとに設定/保存される仕組み。よって、パスキーの利用登録をするだけでパスワード管理が一切不要になるわけではない(それだとパスキー非対応端末からログインできないことになってしまう)。いわゆる“パスワードレス(アカウントにパスワードを一切紐付けない)”とはまた違った次元の話題なのでご注意を。
まとめ~漏れた個人情報は取り返せない。これまでも、これからも日々警戒を
以上、アカウント乗っ取りを巡る状況、被害の影響、被害を防ぐ手法をご紹介した。証券口座の不正アクセス報道で驚いた方は多いだろうが、その内実としては、“パスワード漏洩による不正アクセス”の一形態である。銀行やECサイトに比べて目立たなかった、証券会社が狙われたこと。フィッシング詐欺の手口が先鋭化しているということ──この2つはしっかり頭に入れておくべきだが、そもそも不正アクセス対策はインターネットとは切っても切り離せない問題。浮き足立つことなく、「OSやソフトウェアは最新の状態へ常にアップデートしておく」、「ログイン通知にしっかり目を通す」という、基本中の基本を改めて徹底したい。
証券口座乗っ取りを巡っては、金銭的な被害が補償や保険などで(一部であっても)回復する見込みになったことは喜ばしい。ただ、口座が不正操作されたのと同時に「名前や住所が犯罪者に閲覧されたかもしれない」という不安は、簡単には払拭できない。もし、家族4人が住む自宅住所がアカウント乗っ取りを通じて知られたらどうなるか?この危機感をベースに胸に、常日頃からセキュリティ意識を高めたい。
筆者がオススメするのは、パスワードマネージャーの活用だ。各ブラウザに機能が上手く統合されており、使いやすい。筆者はもう割り切って、Chromeのパスワードマネージャーに600件近いデータを登録している。もちろん、Googleアカウントの2段階認証などを設定した上で、だ。もし利用が不安な方は、10件程度のパスワード保存に留めるところから始めてはいかがだろうか。