X(旧Twitter)を中心としたSNSで、なりすましやアカウント乗っ取りの被害が増えています。著名人や企業だけでなく、フォロワー数の少ない一般ユーザーや、ほとんど活動していない休眠アカウントまで標的になり得ます。
本コラムでは、私自身が経験したX乗っ取り被害の実体験と、よつば総合法律事務所が裁判所への仮処分申立てによって、なりすましXアカウントの凍結に成功した経験をもとに、被害に気づいた際の具体的な対処法と、日頃からできる予防策を弁護士の視点で解説します。
目次
1. X(旧Twitter)のなりすまし・乗っ取り被害が増加
1.1 なりすまし・乗っ取りの典型的なパターン
X(旧Twitter)で発生するトラブルには、大きく分けて2つのパターンがあります。
1つは、第三者が他人の氏名・顔写真・経歴などを無断で使用してアカウントを作成する「なりすまし」です。
もう1つは、本来の利用者のアカウントに不正にログインして乗っ取る「アカウントの乗っ取り(不正アクセス)」です。
なりすましアカウントは、本人の社会的評価を傷つける投稿や、フォロワーをだましてDMで個人情報を引き出すといった目的で運用されることが多く、放置すると風評被害や詐欺被害の温床になります。
乗っ取り(不正アクセス)は、本人のフォロワーに対して詐欺サイトのURLを送りつけたり、暗号資産関連の勧誘投稿を行ったりするケースが目立ちます。
1.2 フィッシング・偽サイト経由で乗っ取られるケース
Xアカウントが乗っ取られる経路として特に多いのが、フィッシングサイトを使ったID・パスワードの窃取です。
「アカウントに異常を検知しました」「ログインを確認してください」といった文面で、本物そっくりのXログイン画面に誘導するメールやDMが届き、そこにID・パスワードを入力してしまうと、攻撃者にそのまま情報を抜かれます。
X社からの正規メールであるかを判断する最も基本的なポイントは、送信元のメールアドレスを確認することです。Xからの公式通知は「@x.com」など、X社のドメインから送信されます。
一見X社からのメールに見えても、送信元のドメインが似て非なるもの(例: 「@x-support.com」「@twitter-info.net」など)になっている場合は、フィッシングメールである可能性が極めて高いと考えてください。
メール本文中のリンクをいきなりクリックするのではなく、まずは送信元アドレスを確認し、不審な点があればリンクは踏まずに、Xの公式アプリやブラウザのブックマークから直接ログインして状況を確認するのが安全です。
検索エンジンの結果に偽サイトが表示されるケースもあり、URLを確認せずにクリックしてしまう方が後を絶ちません。
フィッシングの手口は年々巧妙化しており、「自分は大丈夫」と思っている方ほど油断して被害に遭うリスクが高いといえます。
2. 弁護士自身のXアカウントの乗っ取り被害
2.1 深夜の連続した不正ログイン通知
実は私がプライベートで使っているTwitter(現X)のアカウントも乗っ取り被害に遭ったことがあります。
フォロワー数も少なく、ほとんど活動していないアカウントでしたが、それでも乗っ取られてしまうと第三者に誤解を与えたり、不正に利用されたりするおそれがあるため、放置はできません。
気づいたのは翌朝でしたが、メールを確認すると深夜2時57分に「ご利用のアカウントに不審なログイン操作がありました」という通知が、5時31分には「新しい端末からログインがありました」という通知が届いていました。
確認すると、ログイン元はオーストラリアのiPhoneとなっており、明らかに私本人ではありませんでした。
2.2 パスワードを変更されログイン不能
さらに5時32分には、「アカウントに登録されたパスワードが変更されました」という通知も届いていました。
攻撃者にパスワードを書き換えられてしまうと、本人であってもログインできなくなってしまいます。
私が起床してメールに気づいたのは午前6時43分ごろでしたが、その時点ですでにXのアプリからは自分のアカウントにログインできない状態になっており、正直かなり焦りました。
2.3 Twitter(X)サポートに連絡し、メール経由でパスワード再設定
通知メールの中に「Twitterサポートにお問い合わせ」というリンクが用意されていたので、メールアドレスが公式のものなのかを確認のうえですぐにそこからフォームへ進みました。
表示された質問に対しては、「自分のTwitterアカウントを復活させたい」「私のアカウントがハッキングされた、または乗っ取られた」「現在ログインできない」を順に選択して送信しました。
送信後ほどなくしてサポートから自動返信メールが届き、案内に従って「パスワードを変更します」のリンクからアカウント名と登録メールアドレスを入力し、新しいパスワードを設定しました。
最終的に登録メールアドレス宛に認証コードが届き、それを入力することでパスワードのリセットが完了し、自分のアカウントを取り戻すことができました。
2.4 決め手は「メール通知に早く気づけたこと」
結果として、不正ログインを受けて一時的に乗っ取られたものの、ツイートの改ざんやDMの悪用といった被害は発生せずに済みました。
今回の経験で痛感したのは、SNSサービス側から届く不正ログイン通知のメールがどれほど重要かということです。メールアドレスを登録していなかったり、メールを長期間放置していたりすると、攻撃に気づいたときには手遅れになっている可能性があります。
XやSNSを利用される際は、必ず連絡が取れるメールアドレスを登録しておき、不審なログイン通知が届いたらできるだけ早く対応することを強くおすすめします。
3. Xでなりすまし・乗っ取り被害に気づいた場合の対処法
3.1 アカウントの復旧と利用停止を要請
被害に気づいたら、何よりもまずX社のサポートに連絡してください。
アカウントが乗っ取られていてログインができない場合は、ログイン画面の「パスワードをお忘れですか?」やヘルプセンターの「ハッキングされたアカウント」のページから復旧手続を開始できます。
私が乗っ取られた際は、通知メール内の「Twitterサポートにお問い合わせ」のリンクから、「自分のTwitterアカウントを復活させたい」「私のアカウントがハッキングされた、または乗っ取られた」「現在ログインできない」を順に選択して送信し、自動返信メールの案内に従って登録メールアドレス宛の認証コードからパスワードリセットを完了させました。
なりすましアカウントの場合は、X社のヘルプセンターから「なりすまし」を理由に報告フォームを送信します。連絡が早ければ早いほど、被害拡大の防止につながります。「少し様子を見よう」と判断を遅らせると、その間に攻撃者が詐欺DMの送信やフォロワーへの被害を拡大させてしまうおそれがあります。
3.2 X社が対応してくれない場合は弁護士に相談
X社に報告しても削除や凍結に応じてもらえないケースは少なくありません。
実際、当事務所自身もX社への削除請求が認められず、最終的に裁判所に申立てを行って解決した経験があります。
なりすましの投稿内容が名誉毀損やプライバシー侵害、肖像権侵害、氏名権侵害などに当たる場合には、法的手続を通じて削除を求めることが可能です。
ご自身では判断が難しい場合でも、まずは弁護士に相談していただければ、Xに対する削除請求の見通しや、仮処分申立てによるアカウント凍結の可能性について具体的なアドバイスが可能です。
3.3 なりすましX(Twitter)アカウント自体の削除が認められた裁判例
Xにおけるなりすまし投稿の削除と、なりすましアカウントそのものの削除とは、裁判所の判断のハードルが異なります。
アカウント全体の削除を認めてもらうのは一般的にハードルが高いのです。
しかし、過去には、他人がTwitter(現X)上で開設したなりすましアカウントについて、アカウント全体の削除を認めた裁判例もあります(平成29年10月3日さいたま地方裁判所決定、投稿記事削除仮処分命令申立事件)。
事案の悪質性が高いと判断されたものと考えられますが、状況によってはX(Twitter)アカウント全体の削除が認められる可能性もあるということです。
3.4 当事務所が裁判所への申立てでアカウント全体を凍結した事例
当事務所自身も、過去に「よつば総合法律事務所」を名乗るなりすましアカウントの被害を受けたことがあります。
当該アカウントは、当事務所の名前を用いて他のアカウントへの迷惑ツイート、攻撃的なツイート、脅迫的なツイート、個人情報を聞き出そうとするツイートなどを繰り返しており、放置すれば法律事務所としての社会的評価の低下が避けられない悪質な内容でした。
3.4.1 X社への削除請求は受け入れられなかった
まず当事務所は、X社(当時のTwitter社)に対し、フォーム上より削除請求を行いました。
主張した違反内容は、商標権侵害(商標に関するポリシー違反)、ブランドのなりすまし(なりすましに関するポリシー違反)、攻撃的な行為および名誉毀損の3点です。
しかし、X社はこの削除請求には応じませんでした。X社の任意の対応だけでは解決できない事案が存在することを実感しました。
3.4.2 裁判所への削除仮処分申立てでアカウント全体の凍結に至った
X社が任意の削除に応じなかったため、当事務所は裁判所に対し、アカウント全体の削除を求める仮処分の申立てを行いました。
申立てでは、氏名権侵害、名誉権侵害、アイデンティティ権侵害を主張し、人格の同一性に関する利益の侵害が社会生活上受忍の限度を超えるものであることもあわせて主張しました。
権利侵害の存在が明らかであったため裁判期日は1回で終了し、ツイートおよびアカウント名の権利侵害部分の全てについて削除が認められました。
申立てから決定まで要した期間は約2か月で、その後X社は当事務所のなりすましアカウントを凍結しました。なお、権利侵害の評価が微妙な事案では、これに1~2か月程度加わることも珍しくありません。
3.5 裁判所の決定にサイトが応じないときの間接強制
X社などのプラットフォーム事業者には削除する権限があるものの、裁判所が強制的に削除を実行することはできません。
サイト側が裁判所の決定に従わない場合に備えて、「決定に従わない場合には1日あたり〇万円を支払え」という形で心理的な圧力をかけ、決定内容の履行を促す手続(間接強制)が用意されています。
ここで注意が必要なのは、間接強制の申立てには期間制限があることです。決定書の送達を受けた日から2週間以内に申し立てる必要があります。
削除の決定が出た場合には、速やかに実際に削除されているかを確認し、未対応であれば期間内に間接強制を申し立てる必要があります。
4. Xでのなりすまし・乗っ取りを防ぐ・早期発見する対応策
4.1 Xに連絡可能なメールアドレスを登録し、メールボックスを定期チェック
私がX乗っ取り被害をゼロで食い止められた最大の要因は、X社からの不正ログイン通知メールに気づけたことでした。
Xでは、不審なログインがあった場合や、パスワード・登録情報が変更された場合に、登録メールアドレスへ自動的に通知が届く仕組みになっています。
逆にいえば、Xに連絡可能なメールアドレスを登録していなかったり、メールを長期間放置していたりすると、攻撃に気づいた時点で既にアカウントが完全に乗っ取られているという事態になりかねません。
Xを利用される際は、必ず日常的に確認できるメールアドレスを登録しておき、メールボックスを定期的にチェックする習慣をつけることが、被害の早期発見につながります。
4.2 Xで二段階認証(2要素認証)を設定
Xには、IDとパスワードだけではログインさせず、認証アプリやセキュリティキー、SMSなどによる追加認証を要求する「二段階認証(2要素認証)」の機能が用意されています。
ID・パスワードが何らかの形で流出しても、二段階認証を設定しておけば、攻撃者は第二の認証を突破できないためログインできません。
設定画面の「セキュリティとアカウントアクセス」→「セキュリティ」→「2要素認証」から、認証アプリ・セキュリティキー・テキストメッセージのいずれかを有効化できます。
可能であれば認証アプリやセキュリティキーが推奨されますが、最低限SMSだけでも有効にしておくことを強くおすすめします。あわせて、パスワードを他のサービスと使い回さないことも基本的な対策として徹底してください。
4.3 長期間使用しないXアカウントは削除
長期間使う予定のないXアカウントは、思い切って削除しておくことをおすすめします。
利用していないアカウントは、本人が気づかないうちに乗っ取られても発覚が遅れがちで、攻撃者にとってはむしろ「気づかれにくい乗っ取り先」として狙われやすい標的です。
実際、私自身が乗っ取られたXアカウントも、フォロワー数が少なくほとんど活動していないアカウントでした。
使わないアカウントを残しておくことは、それ自体がリスクになります。今後使う予定がないのであれば、X側の「アカウント削除」機能から削除しておくのが安全です。
4.4 被害に気づいたら一刻も早くX社や弁護士に連絡
Xでのなりすましや乗っ取りに気づいたら、一刻も早くX社のサポートに連絡し、アカウントの復旧、利用停止、なりすましアカウントの凍結などを要請してください。
X社の対応が不十分な場合や、削除・凍結要請に応じてもらえない場合には、弁護士へのご相談をご検討ください。当事務所のように、裁判所への仮処分申立てによってアカウント全体の凍結を実現できるケースもあります。
よつば総合法律事務所では、X(旧Twitter)を含むSNS上の誹謗中傷・なりすまし投稿・乗っ取り被害に関する削除請求や、発信者情報開示請求などのご相談を承っております。
お困りの際は、お気軽にお問い合わせください。
関連記事
大阪弁護士会所属弁護士。よつば総合法律事務所大阪事務所所長。企業法務チームに所属。インターネット上の誹謗中傷の対応、企業及びクリニックの顧問業務、使用者側の労働問題などを担当している。
※上記記事は、本記事作成時点における法律・裁判例等に基づくものとなります。また、本記事の作成者の私見等を多分に含むものであり、内容の正確性を必ずしも保証するものではありませんので、ご了承ください。