企業のSNSアカウントはなぜ乗っ取られるのか？ “運用の欠陥”を筆者が指摘：半径300メートルのIT

最近、企業組織が運営する「X」をはじめとしたSNSアカウントの乗っ取り被害をよく聞きます。なぜこれを防げないのでしょうか。そこには運用面での“欠陥”が存在するようです。

[宮田健，ITmedia]

　アイティメディアは2024年1月29日、「ITmedia Mobile」および「スマートジャパン」の公式「X」（旧「Twitter」）が不正アクセスによって第三者に乗っ取られたと発表しました。その後、2024年2月6日までに両アカウントとも、X社の協力により復旧したことが報告されました。乗っ取られていた期間に2つのアカウントからダイレクトメッセージなどを受け取っていたとしたら、破棄しましょう。

当社公式Xに関する重要なお知らせ（ITmedia Mobile、スマートジャパン）（出典：アイティメディアのWebサイト）

　この件は触れても編集部で却下されるかと思ったのですが、「むしろ触れて注意喚起を」とのことでしたので、この事象を“他山の石”としてもらうためにも、本件をもう少し深掘りしたいと思います。

「X」が乗っ取られたらまず何をすればいいか？

　そもそもシンプルな不正アクセスであれば、二要素認証を有効化することでほとんどの場合は防げます。二要素認証は完璧なセキュリティ対策ではありませんが、まずはこれをしっかりと設定することで、万が一パスワードが漏れたり推測されたりしても、登録した携帯電話番号へのSMSや認証アプリのコードなどがなければログインできなくなります。

　「X」の設定から「Two-factor authentication」（二要素認証）を選択し、「Text message」（テキストメッセージ）、「Authentication app」（認証アプリ）を有効にしましょう。

「X」の二要素認証設定は「セキュリティとアカウントアクセス」から有効化できる（出典：「X」のWebサイト）

　ついでに使うことがほぼない「連携しているアプリ」を、意図的に設定しているもの以外は全て削除することをお勧めします。

　「X」で不正アクセス被害に遭ったかどうか疑わしい場合、まずは「セキュリティとアカウントアクセス」→「アプリとセッション」→「セッション」から、想定していないログインセッションがないかどうかを確認します。

　これでもよく分からない場合は、「他のすべてのセッションからログアウト」をクリックしましょう。不正アクセスに遭ったら、パスワードを変えたとしても、変更前にログインした端末で投稿できてしまいます。そのため、不正アクセスの疑いがあれば、まずは他のセッションを全てログアウトしておきます。必要であれば再びログインすればいいだけなので、大きな影響はないはずです。

不正アクセスの疑いがあればパスワードを変えるだけでなく「他のすべてのセッションからログアウト」する（出典：「X」のWebサイト）

　個人や組織にかかわらず基本的にはこれらの対策が必要です。今回の事象について詳細は発表されていませんが、SNSアカウントが2つ同時に不正アクセス被害に遭ったということは、それらで同じパスワードが設定されていた可能性があります。つまりパスワードの使い回しは避けて、SNSごとにパスワードを使い分けるべきという教訓も得られます。

組織や芸能人のSNSアカウントはなぜ乗っ取られるのか？

　これまでも組織が運営するSNSアカウントや芸能人などの公式アカウントが乗っ取り被害に遭うことはたびたびありました。個人的にはこうした話を聞くたびに「なぜ二要素認証を設定しないのだろう」と疑問に感じていたのですが、恐らくその裏にはアカウントを共有して複数の人間が使用していることがあるのではないかと推測します。

　組織のアカウントをたった一人で運営しているケースは少数で大抵は「中の人」が複数いるのではないかと思います。公式アカウントのID／パスワードを共有し、個人の端末でも投稿できるようにしているのではないでしょうか。不正アクセスとともに「個人アカウントと間違えて公式アカウントに投稿をしてしまった」という事故もいろいろなところで起きています。これも恐らくはそういった背景があるのでしょう。

　こうした運用において、二要素認証は個人で利用するよりも面倒になります。基本的に二要素認証は、特定の個人を「知識情報」「所持情報」「生体情報」のいずれか2つを組み合わせて認証します。アカウントを共有することはそもそも特定の個人を想定していないので、二要素認証を当てはめられません。

　本来であれば公式アカウントに、運用を担う個人アカウントをひも付けるという機能が必要ですが、多くのSNSにはそのような仕組みがありません。「X」に関していえば「Proアカウント」で使える「X Pro」（TweetDeck）に似たような仕組みがありますが、それも個人が二要素認証を設定しなければセキュリティレベルが低下します。

　こうなるとやはり「バッドノウハウ」的な対処になりがちです。二要素認証のために認証アプリに読み込ませる二次元バーコードを“画面保存”しておき、運用担当者がそれぞれ認証アプリで読み込むことで、パスワードが漏れても各人で二要素認証ができる仕組みを作ることは可能です。ただしこれは個人の認証アプリをそれぞれで守る必要があるので、パスワードだけで守るよりは強力ですが、運用そのものをさらに注意して実施する必要があるという意味で、あまり大きな声で推奨できる対策ではありません。

　似たような話は「パスキー」でも起き得ます。筆者は個人利用においては二要素認証以上にパスキーの利用を推奨していますが、これも完全に個を対象とした仕組みですので、パスキーを共有することは（基本的には）できないと考えてください。

　そうなるとSNSの1アカウントを複数人で運用し、かつセキュリティを高めるという方法はあまりなく、推測を避けるために「長いパスワードを使い、かつパスワードをそれぞれのアカウントで使い回さない」という対策が必要なのかと思います。

運用面での“縛り”も必要か

　複数人での公式アカウントの運営は、組織としてもリスクの一つとして認識しなければならないのかもしれません。こうしたリスクがある以上、個別にダイレクトメッセージでやりとりするキャンペーンは一切取りやめて、一方通行の告知のみにとどめるというガイドラインを、あらかじめ設定することも必要でしょう。「SNSは不正アクセスで奪われるかもしれない」という前提で考えることも、大きな組織では必要かと思います。これはブランドを守るための経営課題と考えれば、経営層もその重要度を理解できるのではないでしょうか。

　最近では新たなSNSである「Bluesky」や「Threads」などが登場し、盛り上がりを見せています。不正アクセスだけでなく、公式と勘違いされるアカウントの登場も予想されます。個人的には企業や組織のお知らせは、各会社のトップページから分かりやすい場所に掲載してほしいのですが、そうすると今度は検索エンジン経由での偽物に注意しなければならず、難しい時代になったと思いす。時代は本当に「ブックマーク」なのかもしれません。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。