Xのアカウント乗っ取りと
DM詐欺の手口を考える

• XのDM詐欺は「クレカ不正利用の犯人があなた」と偽り、偽サポートに誘導してパスワードを変えさせてアカウントを乗っ取る手口です。
• 乗っ取られたアカウントはフォロワーへの詐欺DM送信に使われ、被害が連鎖します。
• 身に覚えのない投稿やDM送信、見知らぬセッションがなければ、過度に心配する必要はありません。
• 予防には2段階認証の設定とサービスごとに異なるパスワードの使用が有効です。

1. 「クレカを不正利用された」DM詐欺の正体

「最近、Xのタイムラインで『フォロワーから変なDMが届いた』という投稿をよく見かけ、自分のアカウントは大丈夫なのか心配」という相談がありました。

DM型詐欺の仕組みと、セッション管理の確認方法を整理します。

最近、特に話題なのは「クレジットカードを不正利用され、犯人の名義があなただった」という切り口のメッセージから始まる詐欺です。
身に覚えのない被害者は強く否定しますが、相手はすでに通報したと告げ、「アカウントが停止されるので、Xサポートに連絡してほしい」と畳み掛けてきます。

ここで誘導されるのはXの公式サポートではなく、Discordの連絡先です。
もちろん、Xの公式サポートがDiscordで個別に連絡を取ることはないので偽物です¹。

偽サポートは本人確認を装いながら「アカウント凍結を防ぐために、メールアドレスとパスワードを指定のものに変更してほしい」と要求してきます。
ここで指示通りにパスワードを変更すると、アカウントは乗っ取られてしまいます²。

これが、「アカウント乗っ取り」の典型的なパターンです。
いわゆる「高度なハッキングによってパスワードを突破した」というのではなく、詐欺のやり口³。
一見、知り合いからのメッセージから始まるので、はじめは信じてしまいやすいのです。

人の「焦り」や「運営を名乗る権威」を利用している点で、電話での振り込め詐欺と構造は同じですね。

1.1. 乗っ取りの連鎖

この乗っ取りは、連鎖しがちです。

1. 何らかの方法でアカウントAを不正ログインで乗っ取られた⁴
2. アカウントAのフォロワーに向けて詐欺DMを一斉送信する
3. 騙されたフォロワーがパスワードを変更すると、そのアカウントも乗っ取られる

2. 自分のアカウントで確認すべきこと

このようなメッセージのやり取りがなければ、特に心配する必要はありません。
それでも気になる場合でも、念のために「セッション」の確認をしておくと安心です。

「セッション」とは、現在ログイン中の端末や環境の一覧のことで、Xの設定画面から確認できます。
設定 → セキュリティとアカウントアクセス → アプリとセッション → セッション

セッションが複数表示されていること自体は異常ではありません。
スマートフォンとパソコンの両方でログインしていれば2つ表示されますし、ブラウザとアプリを別々に使っていれば増えます。
問題は「身に覚えのない」セッションがあるかどうかです。

2.1. 不正アクセスが疑われるときは？

自分のアカウントで、不正アクセスが疑われるのは、以下のような兆候です。

• 投稿した覚えのないポストがある
• 送っていないDMが送信済みになっている
• プロフィールや設定が変わっている
• 見知らぬセッションがある

逆に言えば、上記の兆候がなく、届いているDMに返信も個人情報の提供もしていないなら、過度に心配する必要はありません。

もし、見慣れない端末名や地域が表示されていれば、「すべてのセッションをログアウト」を実行して、すぐにパスワードを変更します⁵。

ちなみに、パスワードを変更するだけでは、既存のセッションは自動的に切れません。
変更と同時に「すべてのセッションをログアウト」を手動で実行しないと、古いセッションが残り続けます⁶。

3. 普段から気をつけること

3.1. 怪しいリンクを踏まない

パスワードは、偽のログインページに間違えて入力してしまうことで漏れます。

DMや迷惑メールに含まれるリンクは、見た目がそっくりの偽物が少なくありません。
ただし、フィッシングの多くは、ログインを求めてくるページのURLを確認する習慣をつけると避けられます。
正規のXのドメインは x.com です⁷。
それ以外のページで、Xのパスワードの入力を求められたなら、それは要注意です。

3.2. パスワードを使い回さない

Xのアカウントが乗っ取られるケースは、ほかのサイト（激安の海外通販サイトなど）から漏れているfケースもあります。

Xと同じパスワードを別のサービスでも使っていると、どこか一箇所で漏洩したとき全部まとめて危なくなるからです。
パスワードマネージャーを使ってサービスごとに別のパスワードを設定しておくのが現実的な対処です⁸。

3.3. 2段階認証を有効にする

パスワードが漏れても、2段階認証があれば不正ログインの多くを防げます。

設定は「設定 → セキュリティとアカウントアクセス → セキュリティ → 2要素認証」から行えます⁹。
XのSMS認証は2023年3月以降、無料ユーザーは利用できなくなっており、認証アプリが実質的な選択肢になっています¹⁰。
認証アプリ（Google Authenticator、Authy、Duo Mobile、1Passwordなどいずれのワンタイムパスワードアプリでも使えます）は、ちょっと設定がややこしいですが、安全性は高まります。

4. まとめると

DM詐欺は技術的な攻撃ではなく、人を焦らせて動かす詐欺です。
「確認コードを教えてほしい」「報告してしまったので急いで」という文面が来たら、送り主が誰であっても無視してください。

アカウント側でできる予防は、2段階認証の設定とパスワードの使い回しをやめることの二つで、これだけで大半のリスクをカバーできます。

1. Xのヘルプセンターは「Xがメール、ダイレクトメッセージ、返信でパスワードを尋ねることは一切ありません」と明記しています。 – Xアカウントを安全な状態に保つためのヒント
2. おたくま経済新聞によると、乗っ取り犯は「相互フォロワーを装った偽アカウントによる誘導」と「Discordの偽サポートへの相談」を組み合わせた手口を使っており、あらかじめ用意されたシナリオに沿って動いているとみられています。 – 「クレカ不正利用された」DMの正体 X乗っ取り新手口と方言での検証 | おたくま経済新聞
3. こうした手法はソーシャルエンジニアリングと呼ばれ、技術的な脆弱性ではなく人間の心理を悪用します。急がせる・権威を装うといった手口は詐欺全般で共通しています。 – SIMスワップ攻撃について知っておきたいこと | Sqripts
4. Xのセキュリティポリシーでは、乗っ取りの主な原因として「悪意のあるサードパーティサイトとのログイン情報の共有」「使い回しや簡単すぎるパスワード」「マルウェアによるパスワード収集」「不正ネットワーク上でのログイン」が挙げられています。 – 信頼性 | Xヘルプ
5. 乗っ取り被害が確認できない場合でも、定期的にセッション一覧を確認しておくことが勧められています。Xヘルプセンターでは、不審な動作に気づいたらパスワード変更とアプリ連携の取り消しを推奨しています。 – アカウントが乗っ取られた場合の対処 | Xヘルプ
6. Xヘルプセンターでは、アカウント保護の手順としてパスワード変更とあわせてアプリ・セッションの確認を推奨しています。セッションのログアウトと変更は別操作です。 – Xアカウントを安全な状態に保つためのヒント
7. フィッシングサイトのURLは、正規ドメインの一部の文字を似た文字に置き換えることで判別しにくくする手口がよく使われます。例えば大文字の「O」と数字の「0」、「l」と「1」の混同などです。ログインを求めるページが表示されたら、URLのドメイン部分を必ず確認してください。 – 本物のXメールを見分ける方法 | Xヘルプ
8. Xのヘルプセンターでも「すべてのログイン情報を安全に保管するため、パスワード管理ソフトウェアを使うことをおすすめします」と明記されています。また、パスワードマネージャーはフィッシングサイト対策にもなります。保存済みのパスワードは登録済みのドメインとだけ一致するため、偽サイトでは自動入力されません。 – Xアカウントを安全な状態に保つためのヒント
9. Xのヘルプセンターによると、2要素認証の方式には「ショートメール」「認証アプリ」「セキュリティキー」の3種類があります。 – Xの2要素認証（2FA）を使用する方法 | Xヘルプ
10. 2023年2月、XはSMSを使った2要素認証を有料プラン加入者限定に変更しました。無料ユーザーは2023年3月20日以降、認証アプリまたはセキュリティキーによる2要素認証を利用する必要があります。 – TwitterがSMS認証(電話番号認証)を有料化！おすすめの無料2要素認証ツールも紹介 | Impress Watch