CyberFix Note
攻撃手法・脅威動向

SNSアカウントの乗っ取りが起きる仕組みと利用者ができる対策

対象の目安: SNSを使う一般利用者

リク編集長 / セキュリティ全般・戦略
・ 約11分で読めます
SNSアカウントの乗っ取りが起きる仕組みと利用者ができる対策

SNSアカウントの乗っ取りは、本来の持ち主以外の人が、利用者のIDとパスワードや認証情報を使って本人になりすましてログインし、アカウントを操作してしまう不正ログインの一種です。乗っ取られると、知人へ詐欺のメッセージが送られたり、過去の投稿やプロフィールが書き換えられたりして、被害が持ち主の手を離れて広がります。LINEやInstagram、X(旧Twitter)のように日常的に使うサービスほど、奪われたアカウントから家族や友人へ被害が連鎖しやすくなります。

IPAは「安心相談窓口だより」で、インターネットサービスへの不正ログインによる被害が増加していると注意を促しています。IPAの「情報セキュリティ10大脅威 2026」でも、個人向けの脅威としてフィッシングによる個人情報等の詐取が引き続き挙げられています。この記事では、SNSを使う一般利用者に向けて、アカウントが乗っ取られる主な手口と、乗っ取られると何が起きるか、守るための具体策と乗っ取られた場合の初動を、公式の案内をもとに整理します。

SNSアカウントが乗っ取りの標的になる理由

SNSアカウントが繰り返し狙われるのは、奪ったアカウントを使ってさらに別の人をだませるためです。アカウントには本人の名前やアイコン、友人とのつながりがそのまま残っているため、攻撃者はそれを使って知人になりすまし、信用を逆手にとって金銭や情報を引き出そうとします。攻撃者から見れば、SNSアカウントは本人へのなりすましと、つながった人々への接点を同時に手に入れられる入口になります。

乗っ取りの起点は、利用者のIDとパスワードや認証情報が攻撃者の手に渡ることです。IPAは、過去に流出した名簿やIDとパスワードのリストを入力して試すリスト型攻撃や、実在のサービスをかたる偽のメールやSMSから偽サイトへ誘導するフィッシング、パスワードを総当たりや辞書で当てにいく攻撃を、不正ログインにつながる手口として挙げています。いずれも、利用者が気づかないうちに認証情報が攻撃者に把握されてしまう点が共通します。

ここで押さえておきたいのは、乗っ取りはサービス側の大規模な侵入だけで起きるわけではないという点です。多くの場合、利用者自身がどこかで入力した認証情報や、複数サービスで同じにしているパスワードが起点になります。だからこそ、攻撃者がどの経路で認証情報を集めるのかを知っておくことが、自分の守り方を選ぶ手がかりになります。

攻撃者がアカウントを奪う主な手口

攻撃者がまず使うのが、フィッシングで利用者自身に認証情報を入力させる手口です。攻撃者は、実在のSNSや関連サービスをかたる偽のメールやSMSを送り、本文のリンクから本物そっくりの偽ログイン画面へ誘導します。警察庁は、偽サイトでIDやパスワードなどの情報を盗み、不正ログインによってアカウント乗っ取りなどの被害を生じさせる流れを説明しています。利用者が偽画面に気づかず入力すると、その認証情報がそのまま攻撃者に渡ります。

LINEでは、知人を装って認証番号を聞き出す手口が報告されています。LINEの公式ガイドは、別の端末でログインする操作の際に届く認証番号を、なりすました第三者に教えてしまうと、相手がその番号を使って利用者のLINEを使えるようになってしまうと説明しています。あわせて、メッセージで送られてきたQRコードを読み取る操作を求められても、意図しないログインにつながる場合があるため安易に応じないよう注意が必要です。番号やQRコードは本人確認の最後の鍵にあたるため、たとえ親しい相手の名前で頼まれても他人に渡さないことが要点になります。

パスワードの使い回しを突くリスト型攻撃も、SNSの乗っ取りで使われます。攻撃者は、別のサービスから流出したIDとパスワードの組み合わせを手に入れ、それを同じ利用者が使っていそうな他のサービスへ次々と試します。IPAは、できるだけ長く複雑で使い回さないパスワードにするよう促しており、裏を返せば、複数サービスで同じパスワードを使っていると、一か所の流出が他のアカウントの乗っ取りに直結します。

InstagramやXのように影響力のあるアカウントでは、認証バッジをめぐる手口にも注意が必要です。認証バッジには、著名なアカウントであることを示す従来型のものに加え、近年はMeta Verifiedのように本人確認にもとづく有償の認証もあり、付与の仕組みはサービスや時期によって変わります。攻撃者は、この認証への関心を逆手にとり、バッジ付与や審査をうたう偽の案内でログイン情報や認証コードを入力させようとします。認証の手続きは公式アプリ内の正規の経路でのみ行われるため、DMやメールのリンクから案内された手続きには応じないことが守りになります。

乗っ取られると何が起きるか

乗っ取られたアカウントは、まず知人をだますための道具として使われます。攻撃者は本人になりすまし、友人や家族へ「お金を立て替えてほしい」「このリンクを確認してほしい」といった詐欺のメッセージを送ります。受け取った相手は本人からの連絡だと思い込みやすく、フィッシングサイトへの誘導や金銭の要求に応じてしまうことがあります。乗っ取りの被害が、持ち主だけでなくつながった人々へ広がるのはこのためです。

奪われたアカウント自体が売買の対象になることもあります。Instagramの公式ブログは、認証済みアカウントを他者へ販売する行為に対して措置を講じると述べており、フォロワーの多いアカウントや認証バッジ付きのアカウントには、第三者の手に渡る金銭的な動機が働きます。アカウントが転売されると、もとの持ち主が取り戻すのはいっそう難しくなります。

乗っ取られたアカウントは、投資や副業をうたう詐欺の宣伝にも悪用されます。攻撃者は、信用のある本人のアカウントから儲け話の投稿やメッセージを発信し、つながった人々を詐欺へ誘い込みます。本人の名前と実績を借りることで話に説得力が生まれてしまう点が、こうした悪用の厄介なところです。被害が金銭にとどまらず、持ち主の信用そのものを傷つけることもあります。

乗っ取りを防ぐための具体策

最初に徹底したいのは、サービスごとに異なる、長くて推測されにくいパスワードを使うことです。フィッシング対策協議会は、パスワードをサービスごとに変えること、パスワード管理ツールの利用を案内しています。多数のパスワードを自力で覚えるのは難しいため、パスワードマネージャーを使ってサービスごとに固有のパスワードを生成し保管すると、使い回しによるリスト型攻撃の連鎖を断ちやすくなります。

あわせて読みたい

パスワードマネージャーの選び方とおすすめ。方式・同期・共有を実務目線で比較

パスワードに加えて、サービスが対応していれば二段階認証(多要素認証)を有効にすることが重要です。フィッシング対策協議会は、多要素認証やパスキーの設定を案内しており、パスワード入力に加えて認証アプリのコードや生体認証など別の要素を組み合わせることで、パスワードだけが漏れても不正ログインを防ぎやすくなります。InstagramやXのように任意で二段階認証を設定できるサービスでは、設定しておくと不正ログインを止めやすくなります。一方でLINEは、別端末からのログインを許可制にするログイン許可や、ログイン通知、ログイン中の端末確認、そして認証番号を他人に渡さない運用が中心の守りになります。利用するサービスごとに、用意されている保護機能を確かめて有効にしてください。設定の考え方や注意点は別記事でも整理しています。

あわせて読みたい

多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説

ログイン通知やログイン中の端末の確認も、早く気づくための備えになります。LINEの公式ガイドは、ログイン中の端末をスマートフォンから確認し、見覚えのない端末がないか点検できること、意図しないQRコードログインはキャンセルできることを説明しています。XやInstagramにも、ログイン中のセッションや連携している外部アプリを一覧で確認し、使っていないものを解除する機能が用意されています。連携アプリと端末を定期的に見直し、心当たりのないものを取り除いておくと、乗っ取りの足がかりを減らせます。

SNSの乗っ取りを防ぐために確認したいこと

  • パスワードはサービスごとに変え、長く推測されにくいものにする
  • 覚えきれないパスワードはパスワードマネージャーで生成して保管する
  • 二段階認証(多要素認証)を有効にし、可能ならパスキーも検討する
  • ログイン通知を有効にし、見覚えのないログインに気づける状態にする
  • ログイン中の端末や連携している外部アプリを定期的に見直す
  • 認証番号やQRコードは、知人を名乗る相手にも渡したり読み取ったりしない

加えて、不審なメッセージやリンクへの対応も日頃の守りになります。フィッシング対策協議会は、メールやSMSのリンクは開かず、公式サイトや公式アプリからアクセスすること、入力する前に一度立ち止まって本当に必要な手続きか確認することを案内しています。SNSのダイレクトメッセージで届いたログインを促すリンクや、認証番号やQRコードの送付を求める連絡には応じず、確認が必要なときは公式アプリの設定画面から自分でたどることが、入口で被害を避ける近道になります。SMSを入口にする手口は別記事でも整理しています。

あわせて読みたい

電話番号宛てに届く偽SMSで偽サイトへ誘導するスミッシング

乗っ取られたときの初動

乗っ取りに気づいたら、まだ自分でログインできるうちにパスワードを変更します。LINEの公式ガイドは、ログインできる場合は速やかにパスワードを変更すること、ログインできない場合はカスタマーサポートへ連絡することを案内しています。XやInstagramでも、ログインできるうちにパスワードを変え、二段階認証を設定し直すことが基本の対処になります。パスワードを変えたら、同じパスワードを使い回している他のサービスもあわせて変更し、被害がそこへ波及するのを防ぎます。

アカウントが乗っ取られたと気づいたときの手順

  1. 1

    まだログインできるなら、すぐにパスワードを変更する

  2. 2

    二段階認証を設定または再設定し、攻撃者の再ログインを止める

  3. 3

    ログイン中の端末や連携している外部アプリを確認し、心当たりのないものを解除する

  4. 4

    同じパスワードを使い回している他のサービスも変更する

  5. 5

    ログインできない場合は、各SNSの公式の復旧手続きやサポートへ連絡する

  6. 6

    知人へ、なりすましのメッセージに応じないよう注意を呼びかける

ログインできなくなっている場合は、各SNSが用意する公式の復旧手続きをたどります。Instagramには、不正アクセスされたと思われる場合の復旧手順をたどれる公式ヘルプがあり、本人確認を経てアクセスを取り戻す流れが案内されています。攻撃者がメールアドレスや電話番号、パスワードを変更していることもあるため、復旧には時間がかかる場合があります。あわてて非公式のサービスに頼らず、必ず各SNSの公式の窓口から手続きすることが安全です。

復旧と並行して、知人への注意喚起も欠かせません。乗っ取られたアカウントからは、本人になりすました詐欺のメッセージが送られている可能性があります。連絡が取れる範囲で、別の手段を使って「アカウントが乗っ取られたので、メッセージに応じないでほしい」と伝えておくと、被害が周囲へ広がるのを抑えられます。金銭をだまし取られた疑いがあるときは、警察や消費生活センターなどの相談窓口もあわせて利用できます。

本記事の不正ログインの動向と手口の整理はIPA「安心相談窓口だより(インターネットサービスへの不正ログインによる被害が増加中)」および「情報セキュリティ10大脅威 2026」、LINEの認証番号やQRコード、端末確認に関する説明はLINEみんなの使い方ガイド「乗っ取り被害に遭わないために」、フィッシングと利用者向け対策は警察庁「フィッシング対策」とフィッシング対策協議会「今すぐできるフィッシング対策」、認証バッジと認証済みアカウントの売買に関する記述はInstagram公式ブログにもとづきます。確認できない被害件数などの数値は記載していません。

SNSの乗っ取りは、盗まれた認証情報で本人になりすまし、つながった人々まで巻き込む不正ログインです。だからこそ、サービスごとに異なる長いパスワードと二段階認証で入口を固め、ログイン通知や端末の確認で早く気づける状態をつくることが、利用者にとって現実的な守りになります。そのうえで、認証番号やQRコードを誰にも渡さないという一点を守り、乗っ取りに気づいたら速やかにパスワードを変えて公式の窓口から復旧する流れを知っておくと、被害を最小限に抑えられます。

出典・参考

この記事をシェア

関連する記事

攻撃手法・脅威動向

電話番号宛てに届く偽SMSで偽サイトへ誘導するスミッシング

宅配の不在通知や銀行、携帯電話会社を装う偽SMSで偽サイトや不正アプリへ誘導し、IDやカード情報を盗むスミッシングの仕組みを一般利用者向けに整理します。なぜSMSが狙われるのか、AndroidとiPhoneで変わる手口、見分け方と対処、個人と組織の対策を一次情報をもとに解説します。

攻撃手法・脅威動向

リアルタイムフィッシングが多要素認証を中継して突破する仕組み

偽サイトが入力したIDやパスワード、ワンタイムパスワードをその場で正規サイトへ中継し、認証済みセッションを奪うリアルタイムフィッシング(AiTM)の仕組みを解説します。なぜOTPやSMSでも突破されうるのか、ネットバンキング不正送金の現況、パスキーやFIDO2による構造的な対策までを一次情報をもとに整理します。