この記事は、サイバーセキュリティ基礎講座の第13回です。
前回は、【第12回】重要インフラ攻撃とは何か|電力・通信・医療・交通が狙われる理由をわかりやすく解説で、サイバー攻撃が生活や社会基盤に与える影響を整理しました。
今回は、本人の信用や人間関係を悪用して被害が広がるSNSアカウント乗っ取りを扱います。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「あれ、自分のSNSアカウントから、身に覚えのない投稿がされている。」
もし、そんなことが起きたらどう感じるでしょうか?
- 友人に変なDMが送られている
- 勝手に投資や副業の投稿がされている
- ログインできなくなっている
- 登録メールアドレスが変えられている
- 知らない端末からログイン通知が来ている
- フォロワーに詐欺リンクが送られている
これは、SNSアカウント乗っ取りの可能性があります。
SNSアカウント乗っ取りとは、第三者があなたのSNSアカウントに不正にログインし、本人になりすまして操作することです。
IPAは、不正ログインについて、SNS、ショッピングサイト、ネットバンキング、クラウドサービスなどで、第三者にIDやパスワードを不正使用され、サービスへ不正にログインされる手口と説明しています。
2025年8月のIPAの注意喚起では、IPA情報セキュリティ安心相談窓口に寄せられる不正ログイン相談が増えており、2025年7月には144件の相談があったとされています。
InstagramやFacebookなどで不正ログインされ、自分ではログインできなくなった相談も多いと説明されています。(情報処理推進機構)
SNSアカウント乗っ取りが怖いのは、被害が本人だけで終わらないことです。
- あなたの名前
- あなたの写真
- あなたの投稿履歴
- あなたの友人関係
- あなたの信用
これらが、攻撃者に利用されることがあります。
今回は、「SNSアカウント乗っ取りとは何か」を見ていきます。
「なぜSNSアカウントは狙われるのか?」
「乗っ取られると、本人だけでなく周囲にも被害が広がるのはなぜか?」
「DMや投稿は、どのように悪用されるのか?」
「あなたは、どの設定を見直せばよいのか?」
こうした問いを、信用と人間関係が悪用される構造として整理していきます。
この記事では、SNSアカウント乗っ取りの仕組み、被害の広がり方、復旧と予防の基本を整理します。
他人のアカウントへ不正にログインする方法や、認証を突破する方法には踏み込みません。
目的は、不安を煽ることではなく、あなたがSNSの信用と人間関係を守るために、何を確認すればよいのかを理解することです。
第1章 SNSアカウント乗っ取りとは何か?
SNSアカウント乗っ取りとは、第三者があなたのSNSアカウントに不正にログインし、本人になりすまして操作することです。
乗っ取られると、次のようなことが起きる可能性があります。
- 勝手に投稿される
- 勝手にDMが送られる
- プロフィールが変更される
- フォローやフォロワーが操作される
- 登録メールアドレスが変更される
- パスワードが変更される
- 本人がログインできなくなる
- 詐欺リンクが拡散される
- 友人やフォロワーがだまされる
IPAの不正ログイン対策ページでも、「自分のSNSアカウントから身に覚えのない投稿をされた」「ウェブメールのアカウントにログインできなくなった」などの相談が、不正ログイン被害として紹介されています。(情報処理推進機構)
ここで大切なのは、SNSアカウントは単なるログイン先ではないということです。
SNSには、あなたの信用が蓄積されています。
- 本人の名前
- 顔写真やアイコン
- 過去の投稿
- 友人関係
- フォロワー
- DMの履歴
- 仕事や趣味のつながり
- 家族や知人との関係
攻撃者は、これらを悪用します。
知らない人から届いた怪しいDMなら、多くの人は警戒します。
ですが、友人のアカウントから届いたDMならどうでしょうか?
「この人なら大丈夫」と思って、リンクを押してしまうかもしれません。
つまり、SNSアカウント乗っ取りは、パスワードを盗むだけの問題ではありません。
あなたの信用を使って、周囲をだます攻撃なのです。
第2章 なぜSNSアカウントは狙われるのか?
SNSアカウントが狙われる理由は、価値があるからです。
攻撃者にとって、SNSアカウントは次のように使える可能性があります。
- 詐欺リンクを広げる
- フィッシングサイトへ誘導する
- 投資詐欺や副業詐欺を宣伝する
- フォロワーへDMを送る
- なりすまし投稿をする
- 個人情報を集める
- 他のアカウント侵害につなげる
- アカウントを売買する
- 企業や著名人の信用を悪用する
SNSは、人と人の信頼で成り立っています。
だからこそ、攻撃者はそこを狙います。
たとえば、友人から次のようなDMが届いたらどうでしょうか?
- 「この写真、あなたじゃない?」
- 「投票してほしい」
- 「急ぎで確認して」
- 「この副業、本当に稼げた」
- 「アカウントを助けて」
- 「認証コードを教えて」
見知らぬ相手なら警戒できても、知っている人から届くと判断が揺れます。
ここに、SNS乗っ取りの怖さがあります。
- SNSは信用で成り立つ
- 乗っ取られると信用が悪用される
- 友人やフォロワーがだまされやすくなる
- 被害が本人から周囲へ広がる
- だからSNSアカウントは狙われる
SNSアカウントは、ただのIDではありません。
あなたの人間関係と信用が結びついた、現代の「社会的な鍵」なのです。
第3章 SNSアカウントはどう乗っ取られるのか?
SNSアカウント乗っ取りの入口は、一つではありません。
よくある原因は、次のようなものです。
- フィッシングサイトにログイン情報を入力する
- パスワードを使い回している
- 過去に漏れたパスワードを使っている
- 短く推測されやすいパスワードを使っている
- 多要素認証を設定していない
- 認証コードを他人に教えてしまう
- 偽のサポートにだまされる
- 不審なアプリ連携を許可する
- 端末やブラウザがマルウェアに感染している
- メールアカウントが先に乗っ取られる
特に多いのが、フィッシングとパスワード使い回しです。
流れとしては、次のようになります。
偽のDMやメールが届く
↓
本物そっくりのログイン画面へ誘導される
↓
IDとパスワードを入力する
↓
攻撃者にログイン情報が渡る
↓
SNSアカウントへ不正ログインされる
↓
登録情報やパスワードを変更される
↓
本人がログインできなくなる
また、別のサービスから漏れたパスワードが使われることもあります。
たとえば、昔使っていたサービスからメールアドレスとパスワードが漏れたとします。
その同じパスワードをSNSでも使っていた場合、攻撃者はSNSでもログインを試す可能性があります。
IPAは、不正ログイン対策として、サービスごとに異なるパスワードを設定することや、多要素認証を設定することなどを案内しています。(情報処理推進機構)
つまり、SNSアカウント乗っ取りは、SNSだけの問題ではありません。
- メール
- パスワード
- 多要素認証
- アプリ連携
- 端末の安全性
これらがつながって起きる問題なのです。
第4章 乗っ取られると何が起きるのか?
SNSアカウントが乗っ取られると、まず本人に被害が出ます。
- ログインできなくなる
- 投稿を消される
- プロフィールを変えられる
- パスワードを変えられる
- 登録メールアドレスを変えられる
- DMを見られる
- 過去の投稿を悪用される
- 個人情報を抜き取られる
ですが、それだけではありません。
周囲にも被害が広がることがあります。
- 友人に詐欺DMが送られる
- フォロワーが偽サイトへ誘導される
- 家族や知人が金銭をだまし取られる
- 勤務先や取引先に迷惑がかかる
- なりすまし投稿で信用が傷つく
- 企業アカウントなら顧客対応が必要になる
ここで重要なのは、SNSの被害は「情報」だけでなく「関係」に広がることです。
SNSアカウントが乗っ取られる
↓
本人になりすました投稿やDMが送られる
↓
友人やフォロワーが信用する
↓
リンクを押す
↓
偽サイトに入力する
↓
次のアカウント乗っ取りへ広がる
つまり、SNSアカウント乗っ取りは、連鎖します。
一人のアカウントが乗っ取られると、その人を信頼している周囲の人が次の標的になることがあります。
これは、感染症のように人間関係を通じて広がる攻撃です。
だからこそ、SNSアカウントを守ることは、自分だけでなく、周囲を守ることにもつながるのです。
第5章 DMや投稿はどう悪用されるのか?
SNSアカウントが乗っ取られると、攻撃者はDMや投稿を使って被害を広げようとします。
よくある悪用例は、次のようなものです。
- 偽のログインページへ誘導する
- 投資詐欺へ誘導する
- 副業詐欺へ誘導する
- 認証コードを聞き出す
- 友人に金銭を要求する
- 偽のプレゼント企画を投稿する
- 商品やサービスを勝手に宣伝する
- 不審な外部サイトへ誘導する
- 個人情報を入力させる
特に注意したいのは、「知っている人から届く」という点です。
たとえば、次のようなDMが届くことがあります。
- 「この動画にあなたが映っているかも」
- 「アカウント復旧を手伝って」
- 「このコードを送って」
- 「投票してくれない?」
- 「急ぎで確認して」
- 「このリンクからログインして」
こうしたメッセージは、人間の心理を突いてきます。
- 気になる
- 焦る
- 助けたい
- 断りにくい
- 知人だから信じる
- 早く対応したい
ここで、第1回のフィッシング詐欺とつながります。
SNS乗っ取りでは、フィッシングがより自然に見えることがあります。
なぜなら、送信者が「知っている人」に見えるからです。
つまり、SNSアカウント乗っ取りは、技術だけではなく、人間の信頼を悪用する攻撃なのです。
第6章 乗っ取られたかもしれないサイン
SNSアカウント乗っ取りは、早く気づくことが大切です。
次のようなサインがあれば注意が必要です。
- 知らないログイン通知が届く
- 自分では投稿していない内容がある
- 自分では送っていないDMがある
- フォローやフォロワーが勝手に変わっている
- プロフィール画像や名前が変わっている
- 登録メールアドレスが変更されている
- パスワード変更通知が届く
- ログインできなくなる
- 友人から「変なDMが来た」と言われる
- 連携アプリが増えている
FTCは、メールやSNSアカウントがハッキングされた場合、アカウントを取り戻したあと、アカウントを保護し、誰かがアクセスした形跡を確認し、連絡先に知らせるよう案内しています。(Consumer Advice)
ここで大切なのは、「少し変だな」と思った時点で止まることです。
まだログインできるなら、すぐに確認します。
- パスワードを変更する
- 多要素認証を設定する
- ログイン中の端末を確認する
- 不審な端末をログアウトする
- 連携アプリを確認する
- 登録メールアドレスを確認する
- 投稿やDMの履歴を確認する
- 友人へ注意喚起する
SNS乗っ取りは、早く気づけば被害を小さくできる可能性があります。
違和感は、防御のサインなのです。
第7章 もしSNSアカウントが乗っ取られたら?
SNSアカウントが乗っ取られたかもしれないときは、焦って怪しい復旧サービスやDMに頼らないことが大切です。
まず、公式の復旧手順を使います。
公式アプリや公式ヘルプを開く
↓
ログインできるか確認する
↓
ログインできる場合はパスワードを変更する
↓
多要素認証を設定する
↓
不審なログイン端末をログアウトする
↓
連携アプリを確認・解除する
↓
投稿やDMの履歴を確認する
↓
友人やフォロワーへ注意喚起する
もしログインできない場合は、サービスごとのアカウント復旧手順を使います。
ここで注意したいのは、SNS上で「復旧できます」と近づいてくる相手です。
- 復旧代行を名乗る
- 料金を要求する
- 認証コードを聞く
- パスワードを聞く
- 別サイトへのログインを求める
- さらに別のSNSへ誘導する
こうした相手は、追加被害につながる可能性があります。
FTCも、ハッキングされたメールやSNSアカウントの回復では、アカウントを取り戻したあとに保護、アクセス形跡の確認、連絡先への通知を行うよう案内しています。(Consumer Advice)
被害時に大切なのは、次の順番です。
- 取り戻す
- 止める
- 確認する
- 周囲へ知らせる
- 再発防止する
自分を責める必要はありません。
必要なのは、被害の広がりを止めることなのです。
第8章 SNSアカウントを守る基本対策
SNSアカウントを守るために、あなたが今日からできることはあります。
まず、基本は次の通りです。
- パスワードを使い回さない
- 長くランダムなパスワードを使う
- 多要素認証を設定する
- メールやDMのリンクからログインしない
- 公式アプリやブックマークから開く
- ログイン通知を有効にする
- 不審な端末をログアウトする
- 連携アプリを見直す
- 登録メールアドレスを守る
- 復旧用情報を確認する
特に重要なのは、メールアカウントです。
なぜなら、SNSのパスワード再設定にメールが使われることが多いからです。
メールが乗っ取られると、SNSの復旧や再設定にも影響します。
そのため、優先順位は次のように考えます。
メールアカウントを守る
↓
SNSアカウントのパスワードを使い回さない
↓
多要素認証を設定する
↓
ログイン通知と端末管理を確認する
↓
連携アプリと復旧情報を見直す
NISTのデジタルアイデンティティガイドラインは、認証や本人確認の要件を扱っており、パスワードだけでなく認証器や多要素認証の考え方を整理しています。SNSのような個人向けサービスでも、パスワードだけに頼らず、追加の認証を使う考え方は重要です。(NIST Pages)
SNSアカウントを守ることは、難しい専門作業ではありません。
まずは、重要な設定を見直すことから始めればよいのです。
第9章 企業や発信者にとってのSNS乗っ取り
SNSアカウント乗っ取りは、個人だけの問題ではありません。
企業、店舗、メディア、自治体、学校、クリエイター、インフルエンサーにとっても重要です。
企業アカウントが乗っ取られると、次のような被害が起きる可能性があります。
- 偽情報が投稿される
- 詐欺キャンペーンが拡散される
- 顧客が偽サイトへ誘導される
- ブランド信用が傷つく
- 問い合わせ対応が増える
- 広報対応が必要になる
- 投稿履歴や広告設定が悪用される
- 管理者アカウントが狙われる
企業や発信者の場合、SNSは広報の入口です。
そのため、乗っ取られると、本人だけでなく顧客やフォロワーにも影響します。
必要なのは、個人より少し広い管理です。
- 管理者を必要最小限にする
- 退職者や担当変更時に権限を外す
- 管理者全員に多要素認証を設定する
- 共有パスワードを避ける
- 投稿権限と広告権限を分ける
- 緊急時の連絡体制を作る
- 乗っ取り時の告知文を準備する
- 不審投稿を見つける監視を行う
ここでも、ゼロトラストや最小権限の考え方が役に立ちます。
「担当者だから全部できる」ではなく、必要な人に、必要な権限だけを持たせることが大切です。
SNSは発信の場であると同時に、信用を預ける場所なのです。
第10章 SNSアカウント乗っ取りを見る5つの問い
SNSアカウント乗っ取りのニュースや自分のアカウントを確認するときは、次の5つの問いを持つと整理しやすくなります。
「どのアカウントが乗っ取られたのか?」
「どの入口から侵害された可能性があるのか?」
「本人だけでなく、誰に被害が広がるのか?」
「何を止め、何を確認し、誰へ知らせるべきなのか?」
「再発を防ぐために、どの設定を見直すべきなのか?」
たとえば、友人のSNSから怪しいDMが届いた場合は、こう考えます。
- どのアカウントが乗っ取られたのか?
- 友人の個人アカウントなのか
- 企業アカウントなのか
- サブアカウントなのか
- 連携している別サービスなのか
- どの入口から侵害された可能性があるのか?
- フィッシングなのか
- パスワード使い回しなのか
- 多要素認証未設定なのか
- メールアカウント経由なのか
- 不審なアプリ連携なのか
- 本人だけでなく、誰に被害が広がるのか?
- 家族
- 友人
- フォロワー
- 顧客取引先
- コミュニティ
- 何を止め、何を確認し、誰へ知らせるべきなのか?
- 不審DMの拡散を止める
- 投稿を確認する
- ログイン端末を確認する
- 友人へ注意喚起する
- 公式の復旧手順を使う
- 再発を防ぐために、どの設定を見直すべきなのか?
- パスワード
- 多要素認証
- ログイン通知
- 連携アプリ
- 復旧用メール
- 管理者権限
こうして分けると、SNS乗っ取りは「怖い」「迷惑」で終わりません。
- 入口
- 被害の広がり
- 初動
- 周囲への連絡
- 再発防止
SNSアカウント乗っ取りも、感情ではなく構造で見ることが大切なのです。
まとめ SNSアカウント乗っ取りとは、信用を悪用する攻撃である
SNSアカウント乗っ取りとは、第三者があなたのSNSアカウントに不正ログインし、本人になりすまして操作することです。
被害は、本人だけで終わりません。
- 勝手に投稿される
- 勝手にDMが送られる
- フォロワーがだまされる
- 友人に詐欺リンクが届く
- 信用が傷つく
- 企業や顧客へ影響する
- 次のアカウント乗っ取りにつながる
SNSアカウントが狙われるのは、そこに信用があるからです。
知らない人のメッセージなら警戒できる。
ですが、友人や知人から届くと、信じてしまうことがあります。
攻撃者は、そこを狙います。
SNS乗っ取りの入口には、次のようなものがあります。
- フィッシング
- パスワード使い回し
- 漏洩済みパスワード
- 多要素認証の未設定
- 認証コードの詐取
- 不審なアプリ連携
- メールアカウントの侵害
対策として大切なのは、次のことです。
- パスワードを使い回さない
- 多要素認証を設定する
- メールアカウントを守る
- DMやメールのリンクからログインしない
- 公式アプリや公式サイトから確認する
- ログイン通知を見る
- 不審な端末をログアウトする
- 連携アプリを見直す
- 乗っ取られたら周囲へ知らせる
SNSは、ただの投稿場所ではありません。
人間関係と信用が集まる場所です。
だからこそ、乗っ取りは本人だけでなく、周囲へ広がります。
アカウントを守ることは、自分を守ることです。
同時に、友人、家族、フォロワー、顧客を守ることでもあります。
次回は、「サイバー攻撃はなぜ国家安全保障の問題なのか」を扱います。
「なぜサイバー攻撃が、戦争や外交と関係するのか?」
「国家と犯罪組織と民間企業は、どうつながるのか?」
「重要インフラや情報戦は、なぜ安全保障の問題になるのか?」
「日本や私たちは、何を見ればよいのか?」
こうした問いを、国家、社会、市民生活のつながりから見ていきます。
次回の【第14回】サイバー攻撃はなぜ国家安全保障の問題なのか|戦争・外交・情報戦との関係をわかりやすく解説、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
この記事では、SNSアカウント乗っ取りを「信用と人間関係が悪用される攻撃」として整理しました。
さらに深く理解したい場合は、サイバーセキュリティの入門書に加えて、詐欺心理、認知バイアス、影響力の仕組みを扱った本も役に立ちます。
SNS乗っ取りでは、技術だけでなく、「なぜ知人から届いたメッセージを信じてしまうのか?」という人間心理が大きく関わるからです。
ただし、実践面では、IPA、FTC、各SNSの公式ヘルプを優先して確認するのがおすすめです。
※一部リンクにはアフィリエイトを利用しています。
あなたの負担が増えることはありません。
いただいた収益は、ブログ運営や書籍購入などの学習費に充てています。
- ロバート・B・チャルディーニ, 社会行動研究会『影響力の武器[新版] 人を動かす七つの原理』
- ダニエル カーネマン, 村井 章子『ファスト&スロー』
参考情報
- IPA「インターネットサービスへの不正ログインによる被害が増加中」
- 不正ログインの相談増加、InstagramやFacebookなどのSNS被害相談、手口や対策を確認できます。(情報処理推進機構)
- IPA「不正ログイン対策特集ページ」
- SNS、ショッピングサイト、クラウドサービスなどでの不正ログイン被害と、パスワード使い回し防止、多要素認証などの対策を確認できます。(情報処理推進機構)
- FTC「How To Recover Your Hacked Email or Social Media Account」
- メールやSNSアカウントがハッキングされた場合の復旧後の対応として、アカウント保護、アクセス形跡の確認、連絡先への通知などを確認できます。(Consumer Advice)
- NIST「Digital Identity Guidelines SP 800-63-4」
- 本人確認、認証、多要素認証、認証器などの考え方を確認できます。
- SNSのような個人向けサービスでも、パスワードだけに頼らない考え方を整理する参考になります。(NIST Pages)
