企業アカウントの乗っ取り

企業アカウントの乗っ取りとは？

事例1：セキュリティに問題があり乗っ取られた事例

企業やブランドのSNSアカウントが悪意ある第三者や行きすぎたファンの行動によって乗っ取られてしまった場合、まずはセキュリティ面の問題について考えなければなりません。

例えばアカウントのIDから類推されやすいパスワードを利用していたり、企業の問い合わせようメールアドレスをそのまま登録アドレスとして流用していたりと、セキュリティ面の対策が甘いことで乗っ取り被害にあう事例は少なくありません。

事例2：複数の公式アカウントが攻撃を受けた事例

自社のSNSアカウントだけをターゲットとして攻撃を受けている場合だけでなく、愉快犯や何らかの目的を持った加害者によって、複数の企業の公式アカウントや行政のSNSアカウントなどが一度にまとめて攻撃を受けるケースもあります。

そのような場合、乗っ取りを計画的に行えるよう何らかのシステムやツールを用いていたり、また別の場所から芋づる式に情報漏えいが行われていたりと様々なリスクが想定されます。

そのため、そのようなトラブルに対しては迅速かつ冷静な対処が不可欠です。

企業アカウントの乗っ取られた際のリスク

炎上による被害

企業アカウントが乗っ取り被害にあった場合、まず想定すべきは炎上リスクです。例えばアカウントを乗っ取った犯人が不適切な投稿をしたり、差別的なワードを発信したりすることによって企業イメージが悪化するだけでなく、深刻な炎上によって事態の収拾が困難になる恐れもあるでしょう。

また、炎上した投稿が乗っ取り犯によるものでなく、企業担当者が自ら発信したと誤解された場合、企業が積み上げてきた信用や信頼が毀損されてファンや消費者が離れてしまう恐れもあります。

情報漏洩

SNSでは予約投稿や下書きなど、未投稿の状態で待機・保留されている内容もあります。アカウントを乗っ取られた場合、そのような機密情報や未発表の情報へ第三者がアクセスできるため、情報漏えいのリスクが増大することも重要です。

ログインできなくなる

乗っ取り犯がパスワードや登録アドレスなどを変更してしまえば、本来の所有者である企業やSNS担当者がログインできなくなってしまい、問題を解決することが困難になります。また不適切な投稿でアカウントが凍結されるリスクもあるでしょう。

意図しない投稿・データの改ざん

一部を改変した情報が投稿されたり、悪意を持って改ざんされたデータや画像などが投稿されたりすることで、ユーザーにそれが事実として認知されてしまい、大きな誤解が生じる可能性もあります。

企業の公式SNSの乗っ取りを防止する方法

類推されにくいパスワードを利用する

そもそも第三者によって容易に類推されたり解析されたりできないパスワードや登録アドレスを利用することが大切です。

企業SNSのアカウントを作成する際は、それ専用のアドレスやパスワードを用意し、また担当者や管理者など一定以上の権限や責任を有する人間にしかパスワードなどの情報を知らせない取り組みも重要です。

多段階認証を効果的に利用する

パスワード入力だけでなく、スマートフォンのSMSを使った認証コードや、指紋登録といった生体認証のように、様々な認証方法を多段階的に利用することも有効でしょう。

ただし、生体認証のように特定の人間しかアクセスできない状況は、乗っ取り被害が発覚した際に速やかな対策を取れない恐れもあり、アクセスの利便性と閉鎖性のバランスを見極めることが肝要です。

定期的なパスワードの変更

パスワードは定期的に変更して、日頃からセキュリティ対策への意識を維持しておくことも必要な対策です。

なお、パスワードの変更をする場合、新しいパスワードを考えることが面倒になって「変更そのものがパターン化」しないように注意しなければなりません。

ログイン時間の確認

前回のログイン時間や日時をチェックする習慣を付けておけば、担当者がログインしていない時間に誰かがログインしたかどうか形跡を発見しやすくなります。

また、ログイン時間や投稿時間といったものにあらかじめ社内ルールやマニュアルを設けておき、不自然な時間などに投稿があれば速やかに違和感を把握できるようにしておきましょう。

利用するデバイスの統一と通知設定

TwitterやInstagramといったSNSでは、新しいデバイスからログインがあった場合、登録アドレスへその事実を通知するメールを送信するといった機能があります。

当然ながら想定していないデバイスやエリアからのログインや、アカウントへのアクセスがあった場合、直ちに乗っ取りを想定してパスワード変更などの対策を行うようにしてください。

またスマートフォンとパソコンなどデバイスそのものを認識して、登録済みのデバイスでしかアカウントへログインできないといったSNSもあります。

企業の公式SNS（Twitter）が乗っ取られていないか確認する方法

アクセスしたデバイスの履歴チェック

SNSアプリには、アカウントへログインしたりアクセスしたりしたデバイスについて履歴をチェックできる機能を備えているものがあります。当然ながら心当たりのないデバイスが履歴に表示されていたり、ログインした覚えのない日時にアクセス記録が残っていたりすれば、第三者によってアカウントへアクセスされている恐れが強まるでしょう。

また、新しいデバイスがログインした際はメール通知やプッシュ通知によってアナウンスされる設定にしておくことが大切です。

連携しているアプリなどの確認

SNSと連携しているアプリのチェックも重要です。アプリの中にはSNSと連携して効果的なプロモーションやマーケティングに活用できるものも多く、上手に相互利用することでSNSの発信力を一層に高めることができます。

しかし、連携アプリの中には情報漏えいリスクを上げたり、乗っ取りリスクを上げたりするものもあり、特に連携した心当たりのないアプリが一覧に表示されている場合は速やかに削除してパスワードなどを変更しましょう。

投稿内容のモニタリング

投稿内容が適正かどうか、投稿した記憶のない投稿が発信されていたり、予約投稿として設定していた日時よりも早く投稿されていたりした場合、第三者が何らかの意図で投稿を行っている可能性もあります。

企業の公式SNS（Twitter）が乗っ取られた際の対処法

パスワードの変更

例えばTwitterの企業公式アカウントなど、SNSが乗っ取られた場合、早急にすべきはパスワードと登録アドレスの変更です。

パスワードと登録アドレスを変更しなければ、いつでも第三者に再びアクセスされてしまう恐れがあるため、何よりもまずパスワードと登録アドレスの変更を行います。

アカウントを一時的に削除（停止）する

Twitterの場合、アカウントを削除しても一定期間内であれば復活させることが可能です。そのため、一時的にアカウントを削除して他のユーザーから見られないようにすることも1つの方法です。

ただし炎上してしまっている場合、アカウントを消すと「問題を放置して逃亡した」と思われかねないので注意してください。

企業として声明を出す

Twitter上だけで「乗っ取り被害にあった」と伝えるのでなく、企業として正式に問題が起きていることを伝えて、事実に関する説明責任を果たすことが大切です。また経過報告を適切にすることで、きちんと問題解決に当たっている姿勢を示すことも欠かせません。

乗っ取りリスクはSNSの特性と炎上対策を理解したコンサル会社へ相談！

乗っ取りリスクはあらゆるSNSで存在しており、思いがけないタイミングで被害に遭ってしまう恐れもあります。また、TwitterやInstagram、LINE、TelegramなどSNSごとの特性によって対処法や対策に差があることも。

そのため、乗っ取り対策や炎上対策といったリスクマネジメントは、SNSごとの特性をしっかりと把握した上で適切なアドバイスをしてくれるコンサル会社へ相談するようにしてください。