Facebookアカウントが乗っ取られたかもしれないと気づいた時、まず何をすればいいのか。結論から言うと、ログインできるならすぐパスワード変更、できない場合はfacebook.com/hackedからアカウント復旧手続きを行うことが最初のステップだ。
状況によって対処の流れが変わるため、落ち着いて今の状態を確認することが最優先になる。
Facebookが乗っ取られた兆候——これが出たら要注意
乗っ取りに気づかないまま放置してしまうケースは意外と多い。
まず確認してほしいのは、以下のような変化だ。
プロフィール写真・名前・生年月日が無断変更されている
自分では投稿していない内容がタイムラインに表示されている
送った覚えのないメッセージが友達に届いている
知らない人への友達申請が自分のアカウントから送られている
Facebookから「見覚えのないデバイスからログインがありました」というメールが届いた
パスワードや登録メールアドレスが突然変更されていた
このうち1つでも心当たりがあるなら、乗っ取りの可能性を疑って対処を始めたほうがいい。
特に「メールが来たけど自分じゃないかも」というケースは見逃しがちだ。Facebookはログインアラートを通知してくれる機能があるので、このメールは非常に重要なサインになる。
なお、独立行政法人情報処理推進機構(IPA)が公表している「情報セキュリティ安心相談窓口」への年間相談件数は数千件規模にのぼり、SNSアカウントへの不正アクセスに関する相談は増加傾向にある。また消費者庁も、SNSを起点とした詐欺・なりすまし被害への注意喚起を継続的に行っている。「自分には関係ない」と思いがちだが、実際の被害は身近なところで起きていると考えておいたほうがいい。
ログインできる場合の対処法——まずパスワード変更を
まだ自分のアカウントにログインできる状態なら、時間との勝負だ。攻撃者に先にパスワードやメールアドレスを変えられてしまうと、一気に手が届かなくなる。
手順はこうだ。
画面右上のプロフィール写真をタップ→「設定とプライバシー」→「設定」へ
「アカウントセンター」→「パスワードとセキュリティ」→「パスワードを変更」
登録済みのメールアドレスか電話番号に認証コードが届くので入力
新しいパスワードを設定して完了
パスワードを変更したあとは、「セキュリティとログイン」画面でログイン中のデバイス一覧を確認しよう。見覚えのないデバイスがあれば、個別にログアウトできる。
あわせてやっておくべきことがある。
連携しているアプリ(Facebookでログインしているサービス)の確認と不審なものの削除
ウイルス対策ソフトでデバイスをスキャン(マルウェアによる情報盗取の可能性もある)
Facebookカスタマーサポートへの報告
乗っ取られた可能性がある場合はfacebook.com/hackedから公式サポートにアクセスできる。
ログインできない場合の対処法——アカウント復旧の手順
メールアドレスやパスワードを攻撃者に変えられてしまうと、自分ではログインできなくなる。このケースは焦るが、手順通りに進めれば復旧できる可能性がある。
facebook.com/hackedにアクセスし「アカウントが不正使用された」を選択する
登録メールアドレスを入力して検索し「回復」をクリック
新しいログイン用メールアドレスの登録と本人確認を行う
本人確認が完了すれば復旧手続きが完了する
登録していた電話番号やメールアドレスがまだ生きていると、確認コードを受け取れるケースもある。
なお、最も多くの人が詰まるのが「本人確認書類のアップロード」ステップだ。
Facebookが身元確認を求めてくる場合、運転免許証・パスポート・マイナンバーカードといった公的身分証の画像をアップロードする必要がある。スマホで撮影したものでも受け付けられるが、以下の点に注意が必要だ。
文字や顔写真が鮮明に読み取れること
有効期限内の書類を使うこと
ファイルサイズが大きすぎないこと(目安:5MB以下)
四隅が切れないよう全体を収めて撮影すること
書類をアップロードすると、Facebookの審査チームが確認する。審査には数日かかることがあり、通知がメールで届く。「審査中」のまま反応がない場合でも、数日間は待つことが必要だ。根気よく手順を進めることが、このフェーズでは一番重要になる。
Facebookが乗っ取られると何が起きるのか——被害の全体像
「乗っ取られても、自分は普通の一般人だし大したことないか」と思う人もいるかもしれない。だが、その考えは少々甘いと言わざるを得ない。
乗っ取りによって想定される主な被害はこうだ。
なりすまし被害
攻撃者が本人のふりをして友達にメッセージを送る。「お金を貸してほしい」「このリンクを見て」といった内容で、友達まで被害に巻き込まれる。
個人情報の流出
Facebookは実名登録が基本。氏名・生年月日・住所・出身校・職歴・趣味、さらにはチェックインした場所や参加しているグループまで、攻撃者に丸ごと収集される可能性がある。
金銭的被害
クレジットカードなどの金融情報を登録していた場合、不正利用されるリスクがある。また、偽の商品を販売するなどして友達が金銭的被害を受けるケースも報告されている。
連鎖的な乗っ取り
FacebookのOAuth(ソーシャルログイン)を使って他のサービスにもログインしていた場合、そちらのサービスも被害を受ける可能性がある。さらに、Facebookと同じパスワードを他のサービスでも使い回していると、芋づる式に被害が広がる。
Facebookは世界で月間アクティブユーザーが30億人規模に達するプラットフォームだ(Meta社の公式発表に基づく数値)。実名情報が豊富に詰まっているという特性上、攻撃者にとって非常に「価値の高いターゲット」になっている。
乗っ取りの主な手口——最も多いのはフィッシング攻撃
どうやって乗っ取られるのかを知っておくことも、対策を考えるうえで重要だ。
IPAの注意喚起でも繰り返し取り上げられているように、SNSアカウント乗っ取りの手口として最も多いのがフィッシング攻撃だ。次いでパスワードの使い回しを突いた「リスト型攻撃」、マルウェアによる情報窃取が続く。
各手口の概要は以下のとおりだ。
フィッシング攻撃(最多)
Facebook公式を装ったメールや、Facebook内の広告・投稿に罠が仕掛けられているケースが増えている。「誰かがあなたのアカウントにログインしたかもしれない」という内容で危機感を煽り、偽のログインページに誘導する。そこでIDとパスワードを入力してしまうと攻撃者の手に情報が渡る。
IPAが公開している事例でも、公式に見せかけたURLの巧妙な偽装(例:「faceb00k.com」のような文字置き換え)が報告されている。アドレスバーのURLをよく確認することが第一の防衛線になる。
「足あと」機能を模した詐欺
「あなたのプロフィールに本日○○人が訪問しました」という表示で興味を引き、偽の確認ページからログイン情報を盗む手口。mixi等のかつての日本のSNSに実装されていた「足あと」機能と混同させる巧妙な偽装だ。
筆者が複数の読者から聞いた話では、このタイプの詐欺に引っかかりやすいのは「SNSに慣れてきた頃」の人が多いという印象だ。「機能として存在しそう」という思い込みがあるため、確認せずにクリックしてしまう。
Trusted Contacts(信頼できる連絡先)機能の悪用
Facebookには、あらかじめ登録した友達3人を通じてアカウントを復旧できる「信頼できる連絡先(Trusted Contacts)」という機能がある。攻撃者はターゲットの友人に見せかけた偽アカウントを作って事前に友達になっておき、復旧手続きの場面で「助ける側」を装って乗っ取る手口だ。
この機能自体は正規のものだが、悪用されるリスクがある。設定を確認するには「セキュリティとログイン」→「信頼できる連絡先を選ぶ」から現在の登録状況を見られる。身に覚えのないアカウントが登録されていないか、一度確認しておくことをすすめたい。
パスワードリスト攻撃
どこかの情報漏洩で流出したIDとパスワードのリストを使って、Facebookへのログインを試みる方法。パスワードを使い回していると、他のサービスの漏洩がFacebookの乗っ取りに直結する。
マルウェア感染
キーロガーなどのマルウェアがデバイスに入り込み、入力したパスワードを盗み取るケースもある。
今すぐできる不正アクセス対策——この5つは必ずやっておく
乗っ取りの被害を防ぐために、今日からでも実行できる対策を紹介する。
① 二段階認証(2FA)の設定
乗っ取り対策の中で最も効果が高い。パスワードが盗まれても、認証アプリやSMSによる確認コードがないとログインできない仕組みだ。
Facebookが対応している二段階認証の方法は3種類ある。
方法 セキュリティ強度 手軽さ
ハードウェアトークン(U2F/FIDO2キー) ★★★ 最高 △ 別途デバイス必要
認証アプリ(Google Authenticatorなど) ★★☆ 高い ○ スマホで完結
SMS認証 ★☆☆ 標準 ◎ 最も手軽
ここで注意したいのが、SMS認証は「SIMスワップ攻撃」に対して脆弱という点だ。
SIMスワップとは、攻撃者が携帯キャリアに対してターゲットの電話番号を自分のSIMに移管させる詐欺的手口のことを指す。これが成功してしまうと、SMS認証コードが攻撃者のスマホに届いてしまい、二段階認証を突破されてしまう。
日本国内でのSIMスワップ被害はまだ少ないとされているが、海外ではすでに深刻な問題になっている。将来的なリスクを考えると、認証アプリを使うほうが安全だ。
手軽さと安全性のバランスを考えると、認証アプリの利用がおすすめだ。設定は「アカウントセンター」→「パスワードとセキュリティ」から行える。
② ログインアラートの設定
見覚えのないデバイスからログインが試みられた際に通知が来る機能だ。「設定とプライバシー」→「設定」→「セキュリティとログイン」から有効にできる。
③ 定期的なアクティビティログの確認
「セキュリティとログイン」→「ログインの場所」から、ログインした日時・場所・デバイスを確認できる。知らない機種からのアクセスがあれば、即座にログアウト操作をしよう。
④ パスワードの使い回し禁止と複雑化
英数字と記号を組み合わせた複雑なパスワードを、サービスごとに別々に設定することが鉄則だ。管理が大変な場合はパスワードマネージャーを活用するのが現実的だ。
⑤ 不審なリンク・リクエストは無視
知らないアカウントからの友達申請やメッセージは、基本的に無視が正解だ。添付された動画やリンクをクリックすると、偽のログインページへ誘導される手口が多く確認されている。
考察——40代が特に気をつけるべき理由
ここからは個人的な見解を交えながら話したい。
Facebookは若い世代がInstagramやTikTokに移行したいまも、40代・50代にとっては現役のSNSだ。同窓会的なつながりや地域コミュニティ、仕事関係のネットワークが積み重なっている人も多い。
だからこそ、乗っ取られた場合の影響範囲が非常に広い。
20代のSNSアカウントが乗っ取られるのとは、被害の質が違う。取引先の担当者、古くからの友人、親世代の知り合いまで含めた「リアルな人間関係の地図」が攻撃者の手に渡ることになる。
筆者が特に注目しているのは、Trusted Contacts(信頼できる連絡先)や「足あと詐欺」のような、SNS特有の機能を悪用した手口が巧妙になっている点だ。「このSNSにはこういう機能がある」という常識を逆手に取った詐欺は、セキュリティに詳しくない人ほど引っかかりやすい。
昔i-modeでメールをやり取りしていた頃と比べると、スマホのアプリは格段に便利になった。その一方で、攻撃者の手口もそれに合わせて洗練されてきた。「自分は騙されない」という油断が一番危ない——これは正直な実感だ。
また、二段階認証の設定率がまだまだ低いというのも気になる点だ。なぜ普及しないのか、構造的に考えてみると、「面倒」「設定方法が分からない」という理由に加え、「乗っ取られてから考えればいい」という先送りバイアスが働いているように思う。
だが実際に設定してみると5分もかからない。パスワードを何十文字にするより、二段階認証を設定するほうがはるかに効果的だ。しかも認証アプリを使えば、前述のSIMスワップリスクまでカバーできる。「設定の手間」と「被害を受けた後の回復コスト」を比べれば、今すぐやるべき理由は明らかだ。
乗っ取り被害は「気をつけているから大丈夫」では防げない時代になっている。IPAも毎年のように注意喚起を続けているが、それでも被害件数が減らないのは、注意だけでは限界があるからだ。システム的な防御策を事前に整えておくことが、何より重要だと筆者は考える。
まとめ
Facebookの乗っ取り被害は、なりすまし・個人情報流出・金銭被害・連鎖的な乗っ取りなど、被害の範囲が非常に広い。
乗っ取りに気づいた場合は、ログインできるならすぐパスワード変更、できない場合はfacebook.com/hackedから復旧手続きを行うことが基本的な対処法だ。ログインできない場合は本人確認書類のアップロードが求められるケースもある。その際は鮮明な画像を用意し、審査に数日かかることを念頭に置いて落ち着いて進めよう。
予防策としては、認証アプリを使った二段階認証の設定が最優先。SMS認証はSIMスワップリスクがあるため、余裕があれば認証アプリへの切り替えを検討してほしい。あわせてログインアラートの有効化、アクティビティログの定期確認、パスワードの使い回し禁止を徹底することで、不正アクセスのリスクを大幅に下げることができる。
Facebookは実名でつながっているからこそ、一度乗っ取られると自分だけでなく周囲にまで被害が及ぶ。今日できる対策から、一つずつ確実に進めておこう。
よくある質問
Facebook乗っ取りに気づいたらまず何をすればいい?
まだログインできる状態なら、すぐにパスワードを変更することが最優先。「アカウントセンター」→「パスワードとセキュリティ」から変更できる。ログインできない場合はfacebook.com/hackedからアカウント復旧手続きを行う。本人確認書類の提出を求められる場合があるため、運転免許証やパスポートをすぐ用意できる状態にしておくとスムーズだ。
二段階認証はどの方法が一番安全?
セキュリティ強度が最も高いのはハードウェアトークン(U2F・FIDO2セキュリティキー)。次いで認証アプリ(Google Authenticatorなど)、SMS認証の順だ。SMS認証はSIMスワップ攻撃に対して弱い側面があるため、手軽さと安全性のバランスを考えると認証アプリの利用がおすすめ。
知らない人からの友達申請はなぜ危険なの?
Facebookの「信頼できる連絡先(Trusted Contacts)」機能を悪用した手口があるからだ。攻撃者が事前にターゲットの友人を装った偽アカウントを作り、友達になっておくことで、後から「アカウント復旧の手助け」役を演じて乗っ取りを実行する。また、ロマンス詐欺の入口にもなりやすいため、知らない人からのリクエストは基本的に無視が正解だ。
