この記事では、アカウント乗っ取りがどのような流れで起きるのかを解説します。
侵入のきっかけから悪用までを知ることで、早めに気づくための基本が分かります。
アカウント乗っ取りとは
アカウント乗っ取りとは、本人以外の第三者がIDやパスワードなどを使い、メール、SNS、通販、決済サービスなどに不正に入ることです。
一度入られると、本人になりすまして連絡を送る、登録情報を見る、買い物や送金を試みる、別のサービスへの侵入口に使うといった悪用につながる場合があります。
重要なのは、乗っ取りは特別な人だけに起きるものではなく、日常的に使うアカウントでも起こり得るという点です。
典型的な流れ
- 最初に、偽のログイン画面や不審なメッセージ、流出したパスワードの使い回しなどを通じて、ログインに必要な情報が知られることがあります。
- 次に、第三者がその情報を使ってログインを試します。パスワードを使い回していると、別のサービスにも同じ情報で入られるおそれがあります。
- ログイン後は、登録メールアドレス、電話番号、パスワード、二段階認証の設定などを変えられる場合があります。これにより、本人が取り戻しにくくなることがあります。
- その後、連絡先へのなりすましメッセージ送信、個人情報の閲覧、不正な購入や送金、別サービスへの侵入などに使われることがあります。
侵入のきっかけになりやすいもの
- 偽サイトへの入力: 本物に似せた画面にIDやパスワードを入力させる手口です。見た目だけでは判断しにくい場合があります。
- パスワードの使い回し: あるサービスで知られたパスワードが、別のサービスへのログインに試されることがあります。
- 不審な添付ファイルやアプリ: 端末内の情報を盗み見たり、入力内容を記録したりする悪質なものがあります。
- 認証コードの聞き出し: SMSや認証アプリに届く数字を、本人確認などと偽って聞き出す手口があります。認証コードは鍵の一部と考える必要があります。
乗っ取りに気づく手がかり
- 自分で操作していないログイン通知や設定変更の通知が届く場合は、注意が必要です。
- 友人や家族から、自分が送っていないメッセージについて連絡を受けることがあります。
- パスワードが急に使えない、登録メールアドレスが変わっている、知らない端末がログイン中になっている場合も確認が必要です。
- 通販や決済サービスでは、身に覚えのない注文、請求、ポイント利用が手がかりになることがあります。
取るべき基本対策
- パスワードは使い回さず、サービスごとに別のものを設定します。覚えきれない場合は、信頼できる管理方法を用意します。
- 二段階認証や多要素認証を有効にします。これは、パスワードに加えて別の確認を求める仕組みです。
- ログイン通知や利用通知を確認し、身に覚えのない動きがあれば早めにパスワード変更やログアウト操作を行います。
- メールやメッセージ内のリンクから急いでログインせず、公式アプリやブックマークから開く習慣を持ちます。
- 認証コード、パスワード、秘密の質問の答えは、相手が家族やサポート担当を名乗っていても伝えないようにします。
被害を広げない考え方
乗っ取りは、侵入された一つのサービスだけで終わるとは限りません。
メールやSNSが使われると、知人への連絡、他サービスのパスワード再設定、本人確認の突破に悪用される可能性があります。
そのため、気づいた時点で対象アカウントだけでなく、同じパスワードを使っていた別サービス、連絡先に送られた可能性のあるメッセージ、登録されている決済情報も確認することが大切です。
落ち着いて順番に確認すれば、被害の拡大を抑えやすくなります。
情報セキュリティに関する技術的なご相談 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「情報セキュリティに関する技術的なご相談」に関する情報です。
www.ipa.go.jp
あなたを守るツール
- 2要素認証アプリ: パスワードが漏れてもアカウント乗っ取りを防ぐ。
- パスワード管理アプリ: パスワード使い回しによる芋づる被害を防ぐ。
