2015年 7月 1日公開

企業のITセキュリティ講座

【アーカイブ記事】以下の内容は公開日時点のものです。
最新の情報とは異なる可能性がありますのでご注意ください。

企業のソーシャルメディア安全運用術:乗っ取り・スパム・誤送信を防ぐために

テキスト: ITジャーナリスト・三上洋

Facebook・Twitterなどソーシャルメディアでの乗っ取り事件、スパム(注)送信などのトラブルが起きている。企業アカウントでも被害に遭う危険性があるので、パスワードの強化と運用方法の見直しを行いたい。

(注)スパムとは、受信者の許諾を得ずに、一方的に大量に一括送信される営利目的の広告メールのこと。ここでは、広義のスパムとして、同様の目的によるタイムライン投稿、宣伝ツイートなども含める。

Twitterスパム、Facebook乗っ取り、誤送信などのトラブルが多発

ソーシャルメディアでのスパム広告が増えている。下の画像はTwitterに流れているスパム広告で、サングラスやブーツの通販ショップの宣伝ツイートだ。個人ユーザーのTwitterアカウントから「買ったばかりのサングラスの品質がいい」「アウトレット安い」などの宣伝と、通販ショップのURLアドレスが書かれている。個人ユーザーによる書き込みに見えるが、実は犯人が勝手にアカウントを乗っ取って、宣伝ツイートを行っているのである。

Twitter乗っ取りによる偽通販サイトの宣伝ツイートの例(左:サングラスブランド、右:ブーツブランド)

Twitter乗っ取りによる偽通販サイトの宣伝ツイート。ほかのサービスから流出したパスワードを当てはめて乗っ取る「パスワードリスト攻撃」の可能性が高い。(モザイク部分はアカウントと不正なWebサイトURL)

Twitterアカウントが乗っ取られた理由は、パスワードリスト攻撃だ。以前にほかのサービスから流出したメールアドレス・パスワードの組み合わせ、つまりパスワードリストを犯人が入手。犯人は、それをTwitterに当てはめて乗っ取り、本人のふりをして通販サイトの宣伝をしている。この手口はFacebookでも使われており、乗っ取ったうえで、Facebookの機能である「タグ付け」(友人への関連付け)を使って、多数の人に広告を見せる手法が使われている。

この乗っ取りによるスパム広告の被害を受けているのは、ほとんどが個人ユーザーだが、企業のアカウントでも被害を受ける可能性がある。例えば、熊本県の「くまモン」のTwitterアカウントが乗っ取られ、プロフィールが勝手に変更されたり、ネガティブな話題のツイートをお気に入りに設定されたりするという事件が2012年に起きている。また、海外ではBBCやAP通信などのTwitterアカウントが乗っ取られたこともある。

企業アカウント固有のトラブルとしては、このほかに、誤送信の問題がある。運用担当者が企業アカウントと個人アカウントの切り替えを忘れてしまい、企業アカウントから「疲れたなあ」などと個人的なツイートをしてしまうトラブルだ。

このようにソーシャルメディアでは、乗っ取りや誤送信といったトラブルが起きる可能性がある。想定されるソーシャルメディアでのトラブルを見たうえで、運用担当者向けの対策を紹介する。

目次へ戻る

ソーシャルメディアでの主なセキュリティ関連トラブル

企業アカウントが巻き込まれる恐れがある、ソーシャルメディアでのセキュリティ関連トラブルをまとめておきたい。手口と原因を合わせて紹介する。

「LINE乗っ取り」:アカウント乗っ取り

手口:2014年後半に多く発生したLINEアカウントの乗っ取り。友人宛てに本人になりすましてメッセージを送り、電子マネーを買ってもらう詐欺を行う。ほかのサービスから流出したパスワードを当てはめる「パスワードリスト攻撃」による乗っ取りだと思われる。

主な原因:パスワードをほかのサービスと共通にしていた、もしくは単純なパスワードにしていた。

「Twitterでのスパム広告」:不正な連携アプリ

手口:金融系のアフィリエイトサイト・出会い系サイト・アダルトサイトなどの宣伝ツイートが、強制的にリツイートされてしまう。数年前からある古典的手口だがいまだに続いている。犯人が作成したTwitterでの不正な連携アプリによるものだ。

主な原因:スパムツイートをクリックし「不正な連携アプリ」を導入してしまっている。

「Twitter・Facebookで偽ブランド通販サイトの宣伝ツイート」:アカウント乗っ取り

手口:Facebookでは2014年夏ごろから、Twitterでは2015年1月ごろから流行。サングラス・ブーツ・バッグなどの有名ブランド通販サイトを宣伝するツイートが流れる。アカウント乗っ取りによるものだ。

主な原因:パスワードをほかのサービスと共通にしていた、もしくは単純なパスワードにしていた。

Facebook乗っ取りによる偽通販サイトの書き込み画面の例

Facebook乗っ取りによる偽通販サイトの書き込み。友人を「タグ付け」している。タグ付けとは、写真で一緒に写っている人や、一緒にいた人を関連付けるFacebookの機能のこと。タグを付けると、付けられた人に通知が表示される仕組み。閲覧数、クリック数を増やすために、多数の友人がタグ付けされるのが特徴。(モザイク部分はアカウントと不正なWebサイトURL)

「DM・メッセージでのスパム」:不正なサードパーティ製アプリでのパスワードリスト攻撃、もしくはアカウント乗っ取り

手口:TwitterのDMやFacebookメッセージで、詐欺サイトやマルウェアに感染させる不正なサイトへ誘導するもの。英語でのメッセージが多く、2010年ごろからあった。手口は不正なサードパーティ製のTwitter・Facebookアプリのパスワードが盗みとられたか、アカウント乗っ取りのいずれかの場合が多い。

主な原因:マルウェア感染、もしくはパスワードをほかのサービスと共通にしていたか、単純なパスワードにしていた。

「企業アカウントでの誤送信・乗っ取り」:運用者のミスかハッキング

手口:誤操作によって、企業のアカウントから個人的なツイート・Facebookの書き込みが行われるもの。うっかりミスが多いが、ハッキングによって狙われる場合もある。

主な原因:運用担当者のミス、ハッキングではマルウェア感染か単純なパスワードによるもの。

目次へ戻る

企業アカウントのソーシャルメディア安全運用術

このようにさまざまなタイプのスパム送信・乗っ取りが行われており、企業では被害に遭わないように管理体制・運用方針をしっかり固める必要がある。安全運用には5点のポイントがある。

1:「乗っ取り対策としてのパスワード強化」

  • パスワードを共通にしない(一つのサービスごとに異なるパスワードに)
  • 10桁以上にして、文字種をより多く使う(大文字・小文字、数字、記号)
  • 定期的に変更をしてもよいが上の二つを優先すること(定期的変更のために単純なパスワードにしない)

Twitterの「ログイン認証」の画面の例

Twitterの「ログイン認証」の例。セキュリティの設定のためにスマートフォンの電話番号を登録し、その端末に届くコードが無いとログインできなくする。Facebookでも同様の「ログイン承認」の設定が可能だ。

2:「乗っ取り対策として二段階認証を設定する」

  • できればTwitterの「ログイン認証」、Facebookの「ログイン承認」で、スマートフォンの電話番号を登録し、端末に届くコードが無いとログインできない設定にする
  • 結果として1名しか運用できなくなるので注意(スマートフォンでの認証が必要になるため)

3:「不正な連携アプリ対策と誤送信対策」

  • 運用者をできるだけ少なくすること
  • ソーシャルメディアを運用するパソコンをほかの用途と共用しない。難しい場合は、各ソーシャルメディアのアカウントごとに複数のWindowsログインアカウントを個別に設定するなどして使い分ける
  • 安易に連携アプリを導入しない

4:「マルウェア対策」

  • セキュリティ対策ソフトウェア、ファイアウォールを導入する
  • できる限り、各種ソフトウェア(Java、Flash、PDFなど)を最新のものにする

5:「運用委託会社でのセキュリティ対策」

  • 委託している場合は、上記の4ポイントを徹底させる
  • 運用担当者を絞ることを徹底させる

この5つのポイントをしっかり守って、企業のソーシャルメディアを安全に運用したい。企業のソーシャルメディアにおけるトラブルは、企業イメージの低下につながるので、しっかり管理をして乗っ取りやスパムの被害に遭わないように心掛ける必要がある。

目次へ戻る