2025年4月11日、アートプロジェクト「GGNWORKS」を展開するエッグンネスト株式会社は、自社が運用するInstagramの公式アカウントが第三者により乗っ取られたことを公表しました。現在、アカウントは不正に改名された状態で、不審な投稿が継続しているとのことです。
被害の概要
被害を受けたのは、以下の2つのInstagramアカウントです
-
旧アカウント名:@eggnworks 乗っ取り後IDが 変更され@eggn_works
-
旧アカウント名:@tukuruhitotati →乗っ取り後IDが 変更され:@tukuru_hitotati
これらのアカウントは乗っ取られた後、同社とは無関係な情報を投稿するようになっており、閲覧者に混乱や不安を与えている状況です。
エッグンネスト社は、現在Instagramの運営元であるMeta社と連絡を取りながら、アカウント復旧に向けた対応を進めていると説明しています。また、アカウントが復旧されるまでの間、これらのアカウントからの投稿やDMなどには一切反応しないよう注意を呼びかけています。
なぜInstagramアカウントの乗っ取りが問題なのか?
企業にとって、SNSアカウントは顧客との重要な接点であり、ブランドや信頼を築く上での資産とも言える存在です。これが第三者に乗っ取られることで、以下のようなリスクが発生します
-
顧客への誤情報拡散
-
ブランドイメージの毀損
-
フィッシングや詐欺の踏み台として悪用される
-
関係者や顧客からの信頼喪失
今回の件も、フォロワーやファンが不正なDMや投稿に騙され、情報を搾取される危険性が高まるため、早急な対応とユーザーへの注意喚起が求められています。
実践的対策
このようなSNSアカウントの乗っ取り被害を防ぐために、情報システム部門や担当が関与し、以下のような対策を講じることが重要です。
まず、アカウントの認証設定を強化することが最優先です。すべての業務用SNSアカウントに対して二要素認証(2FA)の導入を徹底し、パスワードだけでログインできる状態を排除する必要があります。また、認証アプリを用いた2FA(例:Google AuthenticatorやAuthyなど)を推奨し、SMSベースの2FAは避けるべきです。
次に、アカウントの管理体制を見直す必要があります。複数人でSNSを運用している場合は、権限を最小限に限定し、ログイン履歴や投稿履歴などを監視できる仕組みを整備しましょう。ログイン情報やパスワードの共有は避け、個人ごとに認証情報を分離することが望まれます。
また、広報部門やマーケティングチームとの連携も重要です。SNSの運用は往々にして広報部門が中心になりますが、セキュリティ管理は情報システム部門が主導して支える必要があります。広報担当者に対するフィッシング対策や不審な連絡への対処方法などの教育も、定期的に実施することが推奨されます。
さらに、アカウント乗っ取りが発生した場合の初動対応フローの整備も不可欠です。被害が起きた場合に、どの窓口に報告するのか、誰がどのように外部ベンダーやプラットフォームとやり取りを行うのかを事前に決めておくことで、被害の拡大を最小限に抑えることができます。
関連記事
多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA
フィッシングメールとは 概要や手口を解説
ミネベアミツミ、約16万件の個人情報漏洩の可能性 VPN経由の不正アクセスによるサイバー攻撃で
I-SOON 中国政府へサイバー攻撃 ツールを提供していた企業から内部リーク
東方Projectの原作者ZUN氏のSNS アカウントが乗っ取られる
ユヴェントスのSNSアカウントがハッキングされ偽ツイートが投稿
実写版、推しの子のSNSアカウントが乗っ取られる
なか卯、公式SNSアカウントが不正アクセスにより乗っ取られる
ハッカーがサウジアラビアのXアカウントを乗っ取り、偽のミームコインを宣伝