アカウント乗っ取りの手口
「まさか、自分がそんな被害にあうはずがない」と思っていても、犯人は実に巧妙な手口であなたのアカウントを狙っています。
たとえば、アカウントの乗っ取りには次のような手口が挙げられます。
- パスワード攻撃
- フィッシングメールやSMS
- SNSアカウントの認証コード
- サポート詐欺
アカウントの乗っ取りを防ぐには、犯人の手口を理解し、日頃からSNSやWebサービスの使い方への注意が大切です。
アカウントの乗っ取り対策は後述します。まずは、本項目でアカウント乗っ取りの手口を理解しておきましょう。
パスワード攻撃
不正アクセスによるアカウント乗っ取りには、いわゆる「パスワード攻撃」と呼ばれる手口が使われます。
有名な例として、想定しうる可能な文字列の組み合わせを全て試す「総当たり攻撃(ブルートフォースアタック)」が挙げられます。
たとえば、10文字以下の数字だけで作成したパスワードや単純な文字列、誕生日や電話番号をパスワードに使用すると、一瞬で解読される危険性があります。
また、推測されやすいパスワードや、少なすぎる文字数、初期パスワードから変更していない場合など、パスワードの管理が甘いとアカウント情報が流出しやすく大変危険です。
独立行政法人 情報処理推進機構(IPA)では、以下のいずれかひとつでも該当するパスワードは、早急な見直しが必要としています。
- IDとパスワードが同じである
- パスワードに、自分の名前、電話番号、誕生日をそのまま使っている
- パスワードに、「1234」や「1111」、「abcd」などの単純な羅列を使っている
- パスワードに、辞書にある単語をそのまま使っている
- さまざまなサービスで、同じパスワードを使用している【SNS、ネットショップなど】
- 他人に一度でもパスワードを教えたことがある
※出典:IPA 独立行政法人 情報処理推進機構「チョコっとプラスパスワード」
安全なパスワードを作成するには、最低でも10文字以上の文字数で、アルファベット(大文字・小文字)や数字、複数の記号を混ぜ合わせた複雑な構成にすることが大切です。
パスワードの入力や管理は面倒に感じるものですが、あなたの個人情報を悪用されないためにも、複雑な構成のパスワードを作成し、複数のサービスで使い回さないことを心がけましょう。
フィッシングメールやSMS
携帯電話会社やクレジットカード会社を騙るSMS(ショートメッセージサービス)やメールを送付し、偽のサイトへ誘導した後、IDやパスワードを不正に入手する手口も増えています。
メールやSMSの送信者の情報や記載のURL、企業のロゴ、書体や日本語表現など、不自然な箇所がないかを細かく確認することが大切です。
パソコンの場合は、マウスポインタをURLの上に1秒ほど重ねる(マウスオーバー)と、接続先のURLが表示されます。
スマホやタブレットの場合、URLやボタンの長押しで接続先のアドレスが表示されるので、送信者情報は表示される名前ではなく、メールアドレスや接続先URLの確認を徹底してください。
また、接続先URLが「https://(ドメイン名)」または「(鍵マーク)(ドメイン名)」になっているか、URLの末尾(ドメイン)が公式のものであるかも確認しましょう。
少しでも不審に感じたら、サービスの公式窓口に問い合わせてみることをおすすめします。
認証コードの不正入手
認証コードとは、2段階認証に用いられ、不正ログインを防止する役割があります。仮にIDとパスワードが流出しても、2段階認証を採用している場合は、認証コードがなければアカウントへのログインができません。
しかし、2段階認証も万全のセキュリティとはいえません。近年、電話番号を不正に入手し、家族や知人を装ってアカウントにログインする際の認証コードを聞き出す手口が横行しています。
総務省の「不正アクセス行為の発生状況」によると、令和3年に検挙された不正アクセス禁止法違反の検挙件数のうち、「識別符号を知り得る立場にあった元従業員や知人等による犯行」や「利用権者からの聞き出しまたはのぞき見」による手口は、全体の約2割を占めています。
アカウントの乗っ取りを防ぐには、たとえ家族や親しい友人であっても、認証コードは絶対に口外しないことが重要です。
また、身に覚えがないにも関わらず、認証コードが送られてきた場合、誰かがログインを試みているため、パスワードを変更するなどの早急な対応が必要です。
サポート詐欺
インターネットの利用中に「あなたのパソコンがウイルスに感染しています」などの不安を煽るポップアップを表示させ、偽の警告画面に記載されたサポート窓口に電話するよう仕向ける手口もあります。
偽のサポート窓口に電話をすると、遠隔操作ソフトのダウンロードやサポート名目でログインIDやパスワードを教えるように指示されます。
マウスポインタが表示されず、操作を受け付けていない状態になる場合もあり、サポート詐欺の手口を知らない方やパソコン操作に不慣れな方は、ひどく動揺してしまうかもしれません。
仮に警告画面が表示された場合でも、まずは慌てずにポップアップを削除し、マウスポインタが操作できない(動いているように見えない)場合は、デバイスを強制終了させて再起動してください。
不要なアプリをインストールしてしまった場合は、速やかにアンインストールするなどの冷静さも大切です。
アカウント乗っ取りによる被害の例
アカウントが乗っ取られてしまうと、次のような被害にあう可能性が考えられます。
- 詐欺メールの送信元にされる(メールアカウントの乗っ取り)
- SNSへの見知らぬ投稿(SNSの乗っ取り)
- 銀行口座からの不正送金(インターネットバンキングの乗っ取り)
- クレジットカードの不正利用(ECサイトアカウントの乗っ取り)
- 自身が管理するWebサイトの改ざんなど(Webサイトの乗っ取り)
アカウント情報が乗っ取られると、クレジットカード情報が盗み取られ、不正利用による高額請求が届く可能性があります。
銀行口座からの不正送金の危険性もあり、経済的に大きな負担を強いられることになるかもしれません。
また、メールアカウントやWebサイトが乗っ取られると、そのアカウントを媒介に詐欺メールやフィッシングサイトへの誘導が行われ、意図せず犯罪に加担してしまう恐れも挙げられます。
アカウントを乗っ取られると、ご自身のみならず、家族や知人も被害に巻き込まれる危険性があるため、万全の対策を講じることが大切です。
アカウントを乗っ取られた場合の対処法
アカウントを乗っ取られてしまった場合の具体的な対処法は、以下のとおりです。
- サービス提供会社に問い合わせる
- ログインIDやパスワードを変更する
- セキュリティソフトを導入する
- 必要に応じて警察に被害届を出す
アカウントの乗っ取り被害にあった際は誰もが動揺してしまうものですが、まずは落ち着いて、上記の対処法を実践しましょう。
サービス提供会社に問い合わせする
アカウントの乗っ取り被害にあった場合は、速やかにサービス提供者(運営会社)へ連絡をしましょう。
以下、主なSNSやWebサービスのヘルプセンターのリンクをまとめました。もしものときの参考にしてください。
| サービス名 | URL |
|---|---|
| Facebook ヘルプセンター | https://ja-jp.facebook.com/help/ |
| Instagram ヘルプセンター | https://ja-jp.facebook.com/help/instagram |
| LINE ヘルプセンター | https://help.line.me/ |
| TikTok ログインとトラブルシューティング | https://support.tiktok.com/ja/log-in-troubleshoot/ |
| X ヘルプセンター | https://help.twitter.com/ja |
| Amazon ヘルプ&カスタマーサービス | https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=GRGRY7AQ3LMPXVCV |
なお、インターネットバンキングが乗っ取られた場合は、銀行の窓口に連絡してください。
ログインIDやパスワードを速やかに変更する
アカウントの乗っ取り被害が疑われる場合は、ログインIDやパスワードを全て変更しましょう。
乗っ取り後にパスワードを変更されてログインできないケースもあるため、サービス提供元に連絡しその旨を伝え、その後の対応方法を確認してください。
乗っ取り被害にあいづらい複雑なパスワードの作成方法については後述します。
セキュリティソフトを導入する
今後の乗っ取り被害や別ルートからの不正アクセスを防止するためにも、セキュリティソフトの導入を検討しましょう。
たとえば、「ドコモ光」ならオプションサービスとしてマカフィー社の高品質なセキュリティソフトを割安な料金で利用できます。
また、「ドコモ光」の契約時は複数のプロバイダからご自身の好みの事業者を選べますが、選んだプロバイダによっては、セキュリティソフトが無料で利用できる場合もあります。
ただし、1台のデバイスに複数のセキュリティソフトを導入すると、相互に干渉しあって動作が不安定になってしまうため、セキュリティソフトの取扱説明書や導入マニュアルをよく確認しましょう。
必要に応じて警察に被害届を出す
インターネットバンキングを乗っ取られて不正送金をされた場合、銀行が損害を補償する取り決めがあります。補償を受けるには、銀行への通知や警察への被害届の提出、状況説明、そのほか定められた条件を満たさなければなりません。
一方、ECサイトのアカウントが乗っ取られて、登録済みのクレジットカードが不正利用された場合は、条件を満たせばクレジットカード会社による補償が受けられます。
この場合も、警察への被害届の提出が必要なので、不正送金の被害が確認できた場合には、警察への被害届を早めに出すようにしてください。
アカウントの乗っ取りを防ぐ方法
本項目では、アカウントの乗っ取りを防ぐ2つの方法を解説します。
- パスワードの作成方法や管理方法を見直す
- 多要素認証を設定する(2段階認証など)
アカウントの乗っ取り被害を防ぐには、事前の対策が必要不可欠です。
今すぐに実践できる方法なので、アカウントの乗っ取り被害にあう前に対策しておきましょう。
パスワードの作成方法や管理方法を見直す
アカウントの乗っ取りを防ぐには、予測しづらい複雑なパスワードを使うことが大切です。
複雑なパスワードを作成するには、英数字記号を組み合わせて、文字数を増やすのが効果的です。
独立行政法人 情報処理推進機構(IPA)では、使い回しを回避するパスワードの作成方法として、以下の手順を紹介しているので参考にしてください。
| 手順 | 内容 | 例 |
|---|---|---|
| 1.コアパスワードの作成 | ご自身の趣味や興味のあることなどから決めた短いフレーズを基に任意のパスワード(コアパスワード)を作成する | テレビが好きな場合:terebigasuki(12文字) |
| 2.文字列の一部を別の文字に置き換える | コアパスワードの一部を大文字や記号、数字に置き換えたり追加したりして、任意の変換ルールを加える | テレビが好きな場合:teREb!gaSuk!003(15文字) |
| 3.サービスごとに異なるパスワードを作成する | ここまでに作成したパスワードにサービスごとの識別子を追加する | 例:ABCマーケット利用時のパスワード ABCteREb!gaSuk!003(18文字) |
※ 出典:独立行政法人 情報処理推進機構(IPA)「不正ログイン被害の原因となるパスワードの使い回しはNG」
また、作成した複雑なパスワードは、コアパスワードのみを暗記し、サービスごとの識別子はメモ帳や電子ファイルでの保管が推奨されています。
二次被害や三次被害が発生する危険性もあるため、複数のWebサイトでパスワードを使い回さないことも心がけましょう。
多要素認証を設定する(2段階認証など)
アカウントの乗っ取り被害を防止するには、ログイン時にIDやパスワード以外の方法で認証を行う「多要素認証」を設定するのも効果的です。
登録済みのSMSやメールアドレスでの認証、専用アプリを活用する方法など、サービスによって多要素認証の内容はさまざまです。
多要素認証の設定方法については、各サービスの該当ページをご確認ください。
アカウント乗っ取り対策ができるインターネット回線なら「ドコモ光」
先述のとおり、アカウント乗っ取りの手口はフィッシングメールや詐欺サイト経由などが代表的です。
事前にセキュリティソフトを導入しておけば、詐欺サイト対策やマルウェア対策が可能となり、結果的にアカウント乗っ取りの防止につながります。
光回線の「ドコモ光」にお申込みすると、オプションサービスとしてマカフィー社※1が提供する総合セキュリティサービスを利用可能です。
光回線とは別にセキュリティサービスへのお申込みが必須ですが、月額385円(税込)と割安な料金で利用できます。OSにより使える機能に差はありますが、マルウェア対策やファイアウォール、危険サイト対策、シュレッダー機能などを利用できます。
また、「ドコモ光」は一部の地域で「ドコモ光 10ギガ」も提供中です。セキュリティ性を高めつつ、自宅に高速な通信環境を整えたい方はぜひご検討ください。
なお、「ドコモ光 10ギガ」の現在の提供エリアは、こちらからご確認いただけます(提供エリアは順次拡大予定)。
また、「ドコモ光」はベストエフォート型サービスです。最大通信速度は技術規格上の最大値となり、お客さま宅内での実使用速度はお客さまのご利用環境・ご利用機器、回線の混雑状況などによって低下する可能性がある点にはご注意ください。
永年最大1,100円(税込)/月割引!※
・無料相談をする
※「ドコモ光」契約者と同一「ファミリー割引」グループ内の「eximo」 「eximo ポイ活」 「irumo(0.5GBを除く)」 「5Gギガホプレミア」「5Gギガホ」「5Gギガライト(1GB超)」「ギガホ プレミア」「ギガホ」「ギガライト(1GB超)」の契約者が対象です。「5Gギガライト/ギガライト(1GB超~3GB)」は550円/月を割引します。また「5Gギガライト」「ギガライト」のご契約で、ご利用データ量が1GB以下の場合は対象外となります。同一「ファミリー割引」グループ内に「ドコモ光」「home 5G プラン」の両方が存在する場合は、「ドコモ光セット割」が適用されます。また、「ドコモ光ミニ」「home 5G プラン」の両方が存在する場合は、「home 5G セット割」が適用されます。月額料金が日割り計算となる場合は、割引額も日割り計算となります。
※1 マカフィーはセキュリティ技術でのグローバルリーダーです。マカフィーの製品は、その高い技術力と適合性で数多くのグローバル企業や日本の企業に採用され、世界中のお客さまのインターネットライフを保護しています。
※1 「McAfee」「マカフィー」は米国およびその他の国におけるMcAfee LLCの商標です。
アカウントの乗っ取り被害予防にはセキュリティソフトの導入が大事
アカウントの乗っ取りを防ぐには、本記事で解説した対処法を実践した上で、偽サイト対策やマルウェア対策のためにセキュリティソフトの導入が大切です。
「ドコモ光」なら、オプションサービスとしてマカフィー社※2の高品質なセキュリティソフトを割安な料金で利用できます。
同時に固定回線の見直しも検討中の方は、ぜひこの機会に「ドコモ光」をご検討ください。
永年最大1,100円(税込)/月割引!※
・無料相談をする
※「ドコモ光」契約者と同一「ファミリー割引」グループ内の「eximo」 「eximo ポイ活」 「irumo(0.5GBを除く)」 「5Gギガホプレミア」「5Gギガホ」「5Gギガライト(1GB超)」「ギガホ プレミア」「ギガホ」「ギガライト(1GB超)」の契約者が対象です。「5Gギガライト/ギガライト(1GB超~3GB)」は550円/月を割引します。また「5Gギガライト」「ギガライト」のご契約で、ご利用データ量が1GB以下の場合は対象外となります。同一「ファミリー割引」グループ内に「ドコモ光」「home 5G プラン」の両方が存在する場合は、「ドコモ光セット割」が適用されます。また、「ドコモ光ミニ」「home 5G プラン」の両方が存在する場合は、「home 5G セット割」が適用されます。月額料金が日割り計算となる場合は、割引額も日割り計算となります。
※2 マカフィーはセキュリティ技術でのグローバルリーダーです。マカフィーの製品は、その高い技術力と適合性で数多くのグローバル企業や日本の企業に採用され、世界中のお客さまのインターネットライフを保護しています。
※2 「McAfee」「マカフィー」は米国およびその他の国におけるMcAfee LLCの商標です。
