【Twitter歴14年のアカウントが乗っ取られた話】

何が起きたのか、そしてどうすれば防げたのか。

こんばんは。
Twitter歴14年にして、ついにアカウントが乗っ取られてしまったおじさんです。

今回は、
「実際に何が起きたのか」
「なぜ防げなかったのか」
「どうすれば避けられたのか」
をできるだけ具体的にまとめました。

正直、恥ずかしい話ではあるんですが、
いま同じ手口で被害に遭う人が本当に増えています。
誰かの防御力アップにつながれば、という気持ちで書き残します。

■ 1. すべての始まりは「12月4日のDM」だった

発端は、普段から仕事のやり取りをしていた相手から届いたDM。

送られてきたURLは、見た目が完全に“本物っぽい”。
Ads系のURLは複雑なので、違和感を覚えにくいのが厄介です。「最近のTwitterはパートナーと契約を結んでTwitter経由で報酬を支払える仕組みなんだ」と勘違いした私の落ち度です。そう思えるような流れでした。

そのままURLにアクセスし、
フィッシングサイトとは知らずにアカウント情報を入力 → Submit ボタンを押してしまった。

押した瞬間に違和感が走ったものの、もう遅かった。

■ 2. Submitを押した後に起きた「秒単位の乗っ取り」

Submit直後から、攻撃者の動きはすべて“自動化された手順”のようでした。

起きたことを時系列でまとめると：

● ① パスワードが即座に書き換えられる

ログイン不能に。

● ② 認証コードの発行を10連打される

「パスワードを忘れたときのコード発行」を攻撃者が10回連続で実行。
これにより 自分側のコード発行が24時間ロック。

● ③ 24時間後も、再び10連打

再度ロックされ、リセット不能。

● ④ 48時間以内に登録メールアドレスまで書き換えられる

ここまで来ると、アカウントは完全に相手の手に。

実際、攻撃者は国内（愛知県）IPを使ってログインしていました。
ただしVPNや踏み台が一般的なので、実在の場所とは限りません。
DMの文体は外国人っぽかったので、おそらく海外の攻撃者だと思います。

■ 3. X（旧Twitter）に助けを求めても解決しなかった理由

何度問い合わせても返ってくるのは定型文。

こちらは
・認証コードが発行できない
・メールアドレスも書き換えられている
という状況なのに、システムがそれを判別してくれない。メールで伝えても返答は定型文のみ。現在はハッカーや犯罪者の方が優位なことは間違いないです。お咎めなしノーリスクで攻撃してきます。

結果、12年使ってきた @mobamasuP は完全に失われました。

ユーザーによる復旧手段が実質ほぼ無いのが現状の問題です。

■ 4. この手口が“防ぎにくい理由”

今回の攻撃は、いくつかの点で非常に巧妙です。

• 「仕事DM → 報酬ページ」は自然な流れ

• URLがTwitter Adsにそっくり（そんなページは現在存在しないけど、あるかのように振る舞ってくる）

• フィッシングサイトのUIが本物級

• Submit後の乗っ取りが完全自動化

• 認証コード連打でユーザー側を完全に無力化

つまり、“判断力の問題”ではなく、
攻撃手法がアップデートされすぎている。

プロでもうっかりやられるタイプのやつです。一撃でアウトです。

■ 5. では、どうすれば防げたのか？

ここからが本題。
今回のケースで「実際に有効だったはずの対策」をまとめます。

① 2段階認証は必ず アプリ方式でONにする

Xの2FAは

• SMS方式（弱い）

• アプリ方式（強い）
  があります。

Google Authenticator や Authy を使うアプリ方式が絶対。

今回の被害は、これがなかったことが致命的でした。

② DMのリンクは“どれだけ自然でも”踏まない

特にこんなワードが含まれていたら要注意：

• 報酬

• 支払い

• 広告

• 承認

• パートナー

• 作業確認

詐欺師は「仕事」と「お金」を使うのが鉄板です。
私はXで他の方とも仕事のやり取りをしていたため、これらのワードの警戒心が０に近かったのが甘かったです。

③ URLのドメインだけは必ず見る

確認すべきは「先頭の1点だけ」。

twitter.com または x.com
→ これ以外は全部偽物。

Ads系ドメインが特に狙われやすい。

④ パスワードリセット連打は“乗っ取りの最終段階”のサイン

今回のように
リセットコードを10連続で叩かれる
という攻撃は、アカウント奪取の成功率を上げる定番戦術。

もし受信箱に通知が連続で来た場合、
「今まさに狙われている」と判断した方がいい。

■ 6. 今日できる行動チェックリスト

この記事を読んだ“今日中”にやってほしい対策：

• Xで2段階認証（アプリ方式）をオンにする

• パスワードを15文字以上にする（フィッシングサイトでは無意味ですが）

• DMのリンクを絶対に踏まない

• ログインURLは必ずドメインを確認

• 「お金関連の連絡」は別SNSで本人確認

• 不審なコード通知が来たら即ログイン履歴をチェック

■ 最後に：アカウントを失ったけれど、経験は残った

14年間の思い出ごとアカウントを失ったのは正直つらい。
けれど、今回の件で「攻撃者がどこまで高度化しているか」を身をもって知れた。

同じような被害に遭う人がこれ以上増えないように、
この体験を書き残しました。

誰かの助けになれば嬉しいです。