はじめに
知り合いの方が、フェースブック乗っ取りの被害に遭いました。今回は多分「クレデンシャルスタッフィング」による被害です。ソーシャルメディア(SNS)アカウント、とりわけFacebookおよびInstagramを標的としたアカウントテイクオーバー(ATO:アカウント乗っ取り)は、2025年から2026年にかけて技術的な進化と攻撃規模の拡大を遂げ、かつてない脅威レベルに達しています。
本記事では、2026年6月時点における最新の脅威ランドスケープ、攻撃メカニズムの深層分析、日本国内の特有被害傾向、そして実践的な防御策・復旧プロセスについて、学術的・技術的な観点から包括的に解説します。
目次
- 2026年6月現在のマクロ脅威ランドスケープと統計分析
- 攻撃メカニズムの深層分析:2026年現在の主導的手法
- 日本国内における特有の被害傾向
- 最新の複合型攻撃キャンペーン分析
- 実証的リカバリープロセスとタイムライン
- 防御体制の要塞化(Proactive Defensive Security)とガバナンス
1. 2026年6月現在のマクロ脅威ランドスケープと統計分析
1.1 世界規模の脅威統計
セキュリティ機関や業界団体の分析によると、2025年には世界全体で約4億2,900万件のSNSアカウントが侵害され、その金銭的被害額は35億ドルに上りました。2026年末にはこの被害件数が約**5億8,000万件(前年比34%増)**に達すると予測されており、SNS利用者の「3人に1人」が何らかのセキュリティインシデントに直面している計算となります。
さらに、米連邦取引委員会(FTC)の報告によると、ソーシャルメディア上の詐欺による損失額は2024年だけで19億ドルに達し、2019年比で**870%**という爆発的な増加を記録しています。
1.2 プラットフォーム別標的比率
| プラットフォーム | 被害シェア | 主な狙われる理由 |
|---|---|---|
| 31% | インフルエンサーエコシステム、ブランド価値 | |
| 27% | ビジネスページ、広告アカウント、決済情報 | |
| 18% | B2B情報、ビジネスメールアドレス | |
| その他 | 24% | - |
Meta社の主要2サービス(Instagram・Facebook)が狙われる背景には、個人のプライバシーデータだけでなく、強力なインフルエンサーエコシステム、ブランドページ、および連携された広告出稿用のクレジットカード情報など、攻撃者にとって換金性の極めて高い資産が集中している点が挙げられます。
1.3 連鎖的侵害の実態
単一のアカウントが侵害された場合、被害者の**73%が他プラットフォームのアカウントも同時に乗っ取られる「連鎖的侵害」に陥っています。これは依然として利用者の94%**がパスワードを使い回しているというセキュリティ習慣の隙を突いた結果です。
1.4 主要攻撃手法の内訳
| 攻撃ベクター | 被害シェア | 主な特徴 |
|---|---|---|
| クレデンシャルスタッフィング | 31% | 過去に流出した160億件のデータベースを悪用 |
| 高度なフィッシング | 27% | 生成AIを用いたネイティブな翻訳、本物のURL構造を悪用 |
| ソーシャルエンジニアリング | 18% | 友人になりすましたDM、偽のキャンペーン |
| SIMスワッピング | 14% | キャリアのサポートを欺き、電話番号を強制移行 |
| セッションハイジャック | 7% | 認証済みクッキーを強奪し、認証を迂回 |
1.5 被害コストの実態
| 指標 | 数値 | 備考 |
|---|---|---|
| 組織・企業の平均復旧コスト | 97,000ドル(約1,500万円) | さらに平均23%の減収 |
| 個人の平均金銭被害 | 180ドル(約2.8万円) | - |
| 平均復旧期間 | 17日間 | ビジネスアカウントはさらに長期化 |
2. 攻撃メカニズムの深層分析:2026年現在の主導的手法
2026年現在のアカウント乗っ取りは、単なる「パスワードの推測」といった原始的なアプローチから、高度に自動化された技術と、生成AIを駆使した「人間心理の攻略」のハイブリッド型へと移行しています。
特に注目すべきは、CrowdStrikeの調査により、2024年から2025年にかけての初期アクセス試行の**75%**が「マルウェアを使用しない(Malware-free)」攻撃、すなわちソーシャルエンジニアリングや認証情報の不正利用に依存していたという事実です。
2.1 クレデンシャルスタッフィングと大規模漏洩データの悪用
乗っ取り手法の第1位(31%)を占めるのが、自動化されたBotシステムを用いたリスト型攻撃(クレデンシャルスタッフィング)です。
この攻撃の猛威を支えているのが、2025年6月に世界規模で発覚した「160億件の漏洩ログイン資格情報コンピレーション(超巨大データベース)」などのデータ流通です。攻撃者はこれらのデータをもとに、1日平均170万回に及ぶ自動Botログイン試行を主要プラットフォームへ向けて実行しており、パスワードを重複利用しているユーザーのアカウントを機械的に掌握していきます。
2.2 セッションハイジャックとクッキー窃取(パスワード不要の侵入)
セッションハイジャック(全体の7%)は、パスワードや二段階認証(2FA)を完全に無効化する最も技術的な脅威として急増しています。
インフォスティーラー(情報窃取型マルウェア)や不正なブラウザ拡張機能を通じて、被害者のPCやモバイルに保存された「認証済みのセッションクッキーやトークン」を直接奪取する手法です。
一度セッションクッキーが盗まれると、攻撃者はユーザー名やパスワード、さらには2FAのコードを入力することなく、ログイン状態のままシステムに侵入できるため、従来のMFA(多要素認証)が機能しないという致命的な特徴を持ちます。
【重要】セッションハイジャックの危険性
履歴的には、2023年に発生したGraph APIのバグによるトークン露出事件など、プラットフォーム側の実装ミスがセッションハイジャックを直接誘発した例も存在します。
2.3 生成AIによるソーシャルエンジニアリングの高度化
攻撃者はChatGPTや画像・音声生成AIツールを用い、完璧な現地言語(文法の誤りがない日本語など)でフィッシングメールやダイレクトメッセージ(DM)を量産しています。
これにより、AIによるフィッシングメールのリンククリック率は、人間が作成した従来のスパムと比較して60%も高くなっています。
さらに、音声クローニングやディープフェイク動画を用いた詐欺(2026年にはネット上の合成コンテンツの90%を占めるとEuropolが予測している)により、被害者の友人や取引先、Meta社の公式サポート担当者に完璧になりすます事例が相次いでいます。
Veriffの2026年版アイデンティティ詐欺レポートによれば、2025年のアイデンティティ攻撃の3回に1回は、こうしたAI生成によるディープフェイクや高度なセッションハイジャックツールを悪用してMFAをバイパスしていたと報告されています。
2.4 インサイダーリスク(組織内部の脅威)
外部からの攻撃のみならず、2026年現在、巨大IT企業やその委託先におけるインサイダー(内部関係者)による不正アクセスも深刻な問題として浮上しています。
2026年4月の報道によると、Meta社の元従業員が、社内の検知システムを回避するためのカスタムスクリプトを構築し、30,000枚におよぶプライベートなFacebook画像データを不正にダウンロードしていた事実が発覚し、英国の法執行機関へ告発されました。
同様のインサイダー脅威は他社でも確認されており、FinWise Bankでの元従業員による689,000件の顧客レコードへのアクセスや、Coinbaseの海外サポートスタッフが買収されて70,000件の顧客データを流出させた事件など、サービスプロバイダーの内部ガバナンスに対する信頼性を揺るがす事態が続発しています。
3. 日本国内における特有の被害傾向
日本国内においても、2025年夏頃からFacebookおよびInstagramの乗っ取り被害が急激な増加傾向を示しています。
情報処理推進機構(IPA)の発表によると、2025年7月には不正ログインに関する相談件数が過去最多の144件に達し、その大部分がSNSアカウントの侵害に端を発するものでした。また、フィッシング対策協議会の報告では、2025年9月単月におけるフィッシングの報告件数は前月比16%増の22万件を超え、過去最高レベルを記録しました。
この爆発的な被害の背景には、前述のグローバルな漏洩データ悪用が日本国内のユーザーに対しても猛威を振るっている事実が存在します。
3.1 日本国内における具体的な被害傾向と特徴的なパターン
■ 京都・札幌などの地域店舗やクリエイターの標的化
伝統産業のクリエイター、飲食店、地方の店舗アカウント、自治体の公式アカウントを狙った乗っ取りが相次いでいます。
一例として、2025年12月にはある地方自治体(県)の公式Facebookアカウントが乗っ取られ、株式投資への勧誘や不審な広告が勝手に掲載される事案が発生し、自治体が謝罪と注意喚起を行う事態となりました。
■ 「身内の信頼」を悪用した連鎖的ソーシャルエンジニアリング
攻撃者は乗っ取った知人のアカウントから、メッセンジャー機能を用いて「投票のお願い」や「キャンペーン招待」といった、日常的かつ断りにくい名目のDMを送信します。
記載されたリンクを踏むと、Metaのログイン画面に極めて酷似したフィッシングページに遷移し、認証情報やSMSコードを入力させられて芋づる式にアカウントが乗っ取られていくという手口です。
■ 広告予算の不正消費(アドフラウド)による財務的致命傷
ビジネス向けのFacebookページが乗っ取られた場合、攻撃者は即座に管理者権限を書き換えて正規ユーザーを締め出します。
その後、事前に登録されていたビジネスマネージャのクレジットカード枠を上限まで悪用し、詐欺的なECサイトや暗号資産への誘導広告を大量出稿して広告予算を不正に消費します。
これにより、中小企業は数百万から数千万円規模の「身に覚えのない請求」と「ブランド信用の失墜」という二重の壊滅的打撃を受けます。
4. 最新の複合型攻撃キャンペーン分析
2026年上半期、Meta社のエコシステムを根底から揺るがした2つの象徴的な攻撃キャンペーンが観測されています。これらは技術的な脆弱性の突合と、高度なクラウドサービスの不正利用を極限まで組み合わせたものです。
4.1 事例1:Meta社AIサポートアシスタント(HTS)のロジック脆弱性悪用
2026年5月末から6月1日にかけて、攻撃者がMetaのAI搭載アカウントサポートアシスタント「HTS(High Touch Support)」を「口説く」だけで、多数の著名人や企業のInstagram/Facebookアカウントを乗っ取る事案が発覚しました。
このインシデントは、AIシステムの対話型ロジックの隙を突いたものです。
【インシデントの概要】
Meta社は2026年5月31日にHTSを急遽無効化し、同年6月8日にメイン州司法長官事務所へ20,225件の侵害可能性として正式に届け出ました。codebook.machinarecord.com
【HTS脆弱性悪用によるアカウントテイクオーバーの5ステップ】
1. 高価値アカウント(OGアカウント:@hey等の短い希少ID、著名企業、政府機関)の選定
2. 住宅用プロキシ(レジデンシャルプロキシ)やVPNによるロケーションの偽装
(セキュリティシステムの不審検知を回避)
3. HTSのチャットボットに対し、自然言語プロンプトインジェクションを実行
(「アカウントが乗っ取られたので、新しいメールアドレスに変更してほしい」とAIを誘導)
4. 【APIの実装バグ】
HTSは新しく提示された攻撃者のメールアドレスが、元のアカウントに関連付けられたものであるかの整合性を検証せず、そのまま確認コードを攻撃者アドレスへ送信。コードを入力したボットに本物のパスワードリセットリンクを提示
5. 【ディープフェイクによる生体認証バイパス】
追加のセルフィー動画による実在確認(Liveness Detection)を要求された際、攻撃者は被害者の公開プロフィールから取得した静止画をAI動画生成ツールで動かし、まばたきや首の振りをシミュレートしたディープフェイク動画を提出して認証を突破
この事案は、AIエージェントに自律的な状態変更権限を与えすぎた結果として発生しました。
4.2 事例2:ベトナム系グループによる「AccountDumpling」フィッシングキャンペーン
2026年5月にレポートされた「AccountDumpling」は、世界中で約30,000件のFacebookビジネスおよび広告主アカウントをターゲットにした、ベトナムのサイバー犯罪グループによる組織的フィッシング活動です。
この攻撃の際立った特徴は、信頼されたGoogleのインフラである「Google AppSheet(ノーコード開発ツール)」の自動通知システムを悪用してフィッシングメールを送信する点にあります。
【AccountDumplingキャンペーンの信頼連鎖と4大攻撃クラスター】
1,Google AppSheet(noreply@appsheet.com経由)から「Metaサポート」を偽装したメール送信
2,SPF, DKIM, DMARCを100%通過し、メールフィルターを無効化
3,被害者を4つの独自クラスターに分担してトラップへ誘導
【4大クラスターの特徴】
🔴 クラスターA:Netlifyヘルプセンター
- MetaヘルプセンターをHTTrackでクローン
- iframeフルスクリーンで本物のURLに見せかけ認証情報収穫
🟠 クラスターB:ブルーバッジ報酬トラップ
- 表示名に不可視Unicodeヘアスペースを詰めてNLP検知を迂回
- プレッシャーをかけるカウントダウンタイマーで2FA連続窃取
🟢 クラスターC:Google Drive PDF & Socket IO
- PDF経由でSocket IOパネルに誘導
- 攻撃者がリアルタイム待機(Human-in-the-loop)し2FAトークン横取り
🔵 クラスターD:大手ブランド偽求人
- WhatsApp/Adobe/Ray-Ban Metaを装う
- キリル文字ホモグラフでドメインを偽装し管理アカウント情報を奪取
このキャンペーンのPDFのCanvaメタデータから、ベトナム在住の「PHẠM TÀI TÂN(ファム・タイ・タン)」の実名が浮上しており、彼は表向きにはFacebookアカウントのセキュリティ復旧ビジネス(phamtaitan.vn)を公然と宣伝しています。
自らが展開したフィッシングキャンペーンによって被害者を乗っ取り、その被害者に有償でアカウントを「アンロック」する持ちかけを行うという、犯罪と商業が完全に融合した極悪なエコシステムが確認されています。
5. 実証的リカバリープロセスとタイムライン
アカウントが侵害されたことが発覚した場合、被害の拡大を秒単位で食い止めるための具体的な技術的手順と、復旧に要する実務的なタイムラインを理解しておくことが不可欠です。
5.1 メールの安全確保:復旧プロセスの大前提
多くのアカウント所有者が陥る致命的なミスは、Facebookの復旧を試みる前に、侵入の踏み台となった「登録メールアドレス」の安全確保を怠ることです。
メールアカウントの制圧を解かない限り、Facebookから送られる復旧用コードはすべて攻撃者に傍受され、復旧の努力はすべて水泡に帰します。
【メールアカウントの要塞化チェックリスト】
- メールのログインパスワードを完全に一意な新しいものに変更する
- メールサービス側の二段階認証(2FA)を、SMS以外の認証アプリ方式で強制有効化する
- メール設定内の「転送ルール(Forwarding rules)」および「送信先ブロックリスト」を監査する。攻撃者がFacebookからの通知メールを被害者に見せないよう、特定の条件でゴミ箱へ自動転送したり、Meta社ドメイン(@facebook.com / @support.facebook.com)をブロック登録しているケースを徹底的に排除する
5.2 公式復旧パス(Trusted Deviceとfallback Lookupの活用)
メールアカウントが安全であることを確認したのち、以下のルートから順に復旧を進めます。
■ 信頼できるデバイス(Trusted Device)からの起動
過去に一度もログインしたことのない新しいPCから復旧を試みるのは避けるべきです。普段から使用していたスマートフォンやブラウザから「https://www.facebook.com/hacked」にアクセスすることで、デバイスのキャッシュや位置情報履歴からMetaのシステムが本人判定を下しやすくなり、復旧プロセスが大幅に簡略化されます。
この信頼されたデバイスからであれば、メールに送信された6桁の確認コードを直接入力するだけで、SMSの遅延を回避し3分以内にパスワード変更まで完了させることができます。
■ フォールバックとしてのアイデンティティ検索(facebook.com/login/identify)
攻撃者によってメールアドレスや電話番号が完全に書き換えられてしまい、ログイン画面から探せない場合、このフォールバックページを利用します。
過去に使用していた古い電話番号、古いメールアドレス、あるいは氏名とプロフィールURLを入力することで、アカウントの特定が可能です。
アカウントが特定できれば、設定しておいた「信頼できる連絡先(Trusted Contacts)」や、身分証明書のアップロードによる本人確認へと繋ぐことができます。
5.3 Meta Verified(優先サポート)による人手的介入スキーム
自動化されたヘルプセンターによる復旧が難航した場合、実務的に最も信頼されている突破口が、Instagramの有料サブスクリプション機能「Meta Verified(Meta認証)」を介した、実在のサポートエージェントとの直接交渉です。
【Instagram経由のMeta Verified優先サポート交渉ステップ】
被害を受けていない、あるいは新規作成したInstagramから「Meta Verified」を契約
(月額費用と公的身分証明書による確認が必要)
↓
認証バッジ取得後、Instagramの設定画面から「サポート」 → 「問い合わせ」を選択
↓
優先チャット、または極めて返信の早いメール対応(Priority Support)の窓口を確立
↓
【エージェントとのコミュニケーション方針の徹底】
・感情的な苦情は完全に排除し、発生した事実を「時系列かつ論理的に」提示する
・アカウントセンター(Meta Accounts Center)で関連付けられていた、あるいは関連付ける予定であったFacebookアカウントの正確な情報を提示する
・自身が正当な所有者(身分証明書提出可能)であり、今回のポリシー違反や不正広告は、攻撃者の侵入による不可抗力であったことを主張する
・ビジネス利用(広告アカウントの連携)があり、早急な復旧が必要である経済的合理性をアピールする
5.4 復旧ルート別の所要タイムライン
| 復旧ルート | 想定所要期間 | 対象となる被害フェーズ | 実務上のメリット・デメリット |
|---|---|---|---|
| 自動本人確認(Trusted Device経由) | 数時間〜数日 | パスワード変更直後、まだデバイス情報が有効な初期状態 | メリット:人手を介さず迅速にセルフ復旧が可能。デメリット:メールアドレスを攻撃者に即時削除された場合は機能しない |
| ビジネスカスタマーサポート(広告用) | 1〜7営業日 | 広告アカウントが紐づいたビジネスページが乗っ取られた企業 | メリット:広告費用の返金交渉や不正広告の即時停止が可能。デメリット:書類による企業の実在証明と被害エビデンス(スクリーンショット、決済明細)が必須 |
| Meta Verified(Instagram経由) | 2〜5営業日 | 個人の一般アカウント、自動復旧で「BAN」判定を受け諦めていたケース | メリット:人間のエージェントに直接状況を説明し、救済措置を受けられる。デメリット:月額のサブスクリプション費用が別途発生する |
| 複雑な異議申し立て(国際法的手続き等含む) | 数週間〜数ヶ月 | ディープフェイク検証、または国家・法的介入を要する広域侵害 | メリット:最終手段としての厳格なアイデンティティ救済。デメリット:著しい時間を要し、その間のビジネス機会損失が大きい |
6. 防御体制の要塞化(Proactive Defensive Security)とガバナンス
事後的な復旧には多大なコストとリスクが伴うため、2026年現在の脅威環境においては、事前の徹底的なシステム「要塞化」が企業の事業継続における決定的な防御因子となります。
6.1 パスワードの完全撤廃とFIDO2パスキーの全社展開
過去の漏洩情報(160億件のリスト)の影響を完全に無効化するため、企業および重要個人アカウントは「パスワード認証」を廃止し、Meta社が2025年から2026年にかけて段階的に展開している「パスキー(Passkey)」へ全面移行すべきです。Metaについて
パスキーは、デバイスの物理セキュリティチップ、指紋、Face ID、またはPINを認証要素とし、暗号化公開鍵のペアを用いてMeta社のサーバーと直接通信するため、フィッシングサイトに認証情報を盗み取られるリスクを構造上排除できます。
また、Meta社が2025年から順次適用している「強制2FA通知」メールを受け取った場合、それが公式なもの(ドメインが @facebook.com または @support.facebook.com)であることを入念に確認した上で有効化し、サポートを装う偽のセキュリティ警告メールには絶対に引っかからないよう注意する。
6.2 クッキー・セッション管理と端末衛生(ハイジーン)の徹底
攻撃者が狙うセッションクッキーの強奪を阻止するため、以下の基本的なIT管理をルール化する。
■ 定期的なパスワードローテーションと共有デバイスのクリーンアウト
パスワードマネージャーを使用していない個人は、最低6ヶ月に一度は強力な一意のパスワードへ手動更新する習慣をつける。
また、カフェなどの共有PCや公共Wi-Fi環境下でFacebookを利用した際は、ブラウザを閉じるだけでなく、必ず「ログアウト」処理を明示的に実行する。
ブラウザに不審な表示や動作不良が見られた場合は、即座にキャッシュとクッキーのクリアを実行し、ブラウザの再起動をかける。
■ 脆弱なインフラの定期監査
ブラウザの拡張機能やアドオンは、セッション情報を傍受するための主要なマルウェア感染経路となっている。不要なプラグインはすべて削除し、アンチウイルス等のセキュリティソフトウェアは常に最新の状態に保つ。
6.3 ビジネスポートフォリオ(旧ビジネスマネージャ)のガバナンスと特権管理
企業のアカウント管理者および広告担当者は、以下のガバナンスモデルをただちに構築するべきです。
【ビジネスポートフォリオの3大ガバナンス原則】
原則1:管理者アカウントにおける多要素認証(MFA)の100%義務化
ビジネスマネージャ内のすべての人員、特に管理者(Admin)ロールのユーザーに対して、Authenticatorアプリ(Google Authenticator等)または物理USBセキュリティキーの登録を強制する。
SMS単体での2FAは、SIMスワップ攻撃の標的となるため原則禁止とする。原則2:個人アカウントへの依存を排除した、ビジネスマネージャでの権限統合
個人用Facebookアカウントに広告ページやクレジットカードが直接紐づく構造を廃止し、すべてビジネスポートフォリオを介した役割管理(Role-based access control)へ移行する。
管理者数を「最小限(最小権限の原則)」に維持し、従業員の異動や退職が発生した場合は、人事システムと連動してMetaシステム内の権限を即座に削除する。原則3:セキュリティアラート設定の最大化とログの監視
Meta Business Suite内の「セキュリティイベントアラート」を有効化し、新しいデバイス、新しいロケーションからのログイン、あるいは管理者ロールの追加・変更があった場合に、即座にIT部門のメールアドレスへアラートが飛ぶ体制(早期警戒網)を構築する。
まとめ:2026年の脅威環境における必須アクション
アカウントの侵害を想定した事前防御姿勢を確立し、本記事に示したリカバリープロセスとガバナンスコードを徹底することは、2026年という極めて洗練されたサイバー脅威時代において、顧客の信頼とビジネス上の資産を保護するための必須条件です。
【今すぐ実施すべき優先アクション】
| 優先度 | アクション | 対象 |
|---|---|---|
| 緊急 | メールアカウントの2FA強化と転送ルール監査 | 全ユーザー |
| 緊急 | パスキー(Passkey)認証への移行 | 重要アカウント |
| 重要 | ビジネスポートフォリオの管理者権限見直し | 企業アカウント |
| 重要 | Meta Verifiedの事前契約検討 | ビジネス利用者 |
| 推奨 | ブラウザ拡張機能の定期監査 | 全ユーザー |
| 推奨 | 信頼できる連絡先の設定 | 全ユーザー |
参考資料・出典
- Meta社 AIサポートチャットボット脆弱性報告 - Codebook
- Metaアカウント発表 - Metaについて
- 情報セキュリティ10大脅威 2026 - IPA
- Facebookアカウント復旧ガイド - McAfee
- Meta Transparency Center - 脅威対策レポート
本記事は2026年6月時点の情報に基づき作成しています。セキュリティ脅威は日々進化しており、常に最新情報の確認と対策の見直しを推奨します。