半径300メートルのIT：SNSを一度ハッキングされたら、「パスワード変更」だけで対処を終えてはいけない (2/2)

アカウントをハッキングされたら意識してほしい「その場では見えない」被害

　アカウントを侵害された場合、被害は「パスワードを突破されて画像が投稿された」「不適切なテキストを公開されてしまった」といった、目に見える被害を消して終わりではありません。知らない間にダイレクトメッセージをのぞき見られたり、プロフィールを書き換えられたりと、意外なところを攻撃されている可能性があります。その意味で、広範囲に影響する「情報漏えい」として捉える必要があるでしょう。

ハッキング被害に遭ったロバート・ダウニーJr.のInstagramアカウント。いたずらで投稿された画像はすぐに削除されたが、実はストーリーズにスパム投稿が行われたことに、アカウント保持者はしばらく気が付かなかった模様。よく見るとプロフィールも改ざんされている

　例えば、今回取り上げたロバート・ダウニーJr.のInstagramが遭った被害の場合、“いたずら”レベルの投稿でアカウント保持者が気付けたことは不幸中の幸いでした。

　というのも、攻撃者がもしその気になれば、パスワードを突破できたことを本人に知られないように行動することも可能だったはずだからです。その場合、狙いは有名人の「本人認証済マーク」。ほんの一瞬表示されるアカウント名を、セレブの名前に似せたフィッシング用の文字列に変更することで、本物そっくりのアカウントを偽造できるのです。実際、そういう事件が発生しているだけに、閲覧者としても今回の事件は“小さなこと”だとは思えません。

　過去には、例えばZOZOTOWNの前澤友作社長のキャンペーンに便乗した詐欺広告や、米国のドナルド・トランプ大統領の偽アカウントといった事例の他、さまざまな公式アカウントが乗っ取りの被害に遭った事例を探せば、それこそ枚挙にいとまがないといえます。

　中でも、セレブにとってSNSアカウントは重要な営業ツールの一つでしょうから、マネジャーやマネジメント事務所側でしっかりと二段階認証を設定してほしいです。本来であれば、本人認証済みのような重要なアカウントは二段階認証を必須とするくらいでいいと思うのですが……。

セレブは実世界でも見習うべきヒーローであってほしい

　以前、Instagramからセレブの電話番号などが流出したという事件がありました。実はこのとき、被害者に、私の親戚が含まれていました。本人のアカウント情報は漏えいしていなかったものの、登録されていた電話番号が外部に流出していたため、本人のマネジャーに何とか連絡し、その内容を伝えました。

　その時点では、残念ながら本人は二段階認証を行っておらず、当然この事件についても知らないという状態だったので、私からは「漏えいした電話番号を悪用し、周囲の人間をかたったソーシャルエンジニアリングが行われる可能性」「二段階認証を行ってくださいね」の2点を伝えておきました。

　さて、芸能人やセレブの中には、日本なら「一日署長」に就任するなど、犯罪の被害を啓発する活動をしている方もいます。今回被害に遭ったロバート・ダウニーJr.といえば、IT企業の社長役やスーパーヒーローを演じて世界的に有名です。それだけに、被害自体は小さかったでしょうが、「悪と戦う」イメージでせっかく慕われているセレブが、こんなにしょっぱい（？）ハッキングにやられてしまうだなんて、私も信じたくはありませんでした。

　できればこういったセレブやインフルエンサーと呼ばれるような方々は、自分のアカウントをもっと大事にしてほしいと思います。それが多くの読者、フォロワーの手本となれば、サイバー空間ももう少し堅牢（けんろう）になるはずですから。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。