アカウント乗っ取り（ATO）を初心者でも分かりやすく解説 | お金・アカウントを守る | 非IT技術者向けサイバー攻撃セキュリティ解説

アカウント乗っ取り（ATO）を簡単に言うと？

あなたの自宅の鍵を誰かが盗んで、あなたを家から締め出し、家の中のすべてを好き勝手に使う状況に似ています。泥棒は合鍵を作り、ドアの鍵も交換して、あなたが入れないようにします。そして、あなたの名前で銀行からお金を引き出したり、友人に「お金を貸して」と連絡したり、あなたの個人情報を盗んで売ったりします。
デジタルの世界では、攻撃者があなたのメールアカウント、銀行口座、SNS、ECサイトなどのパスワードを盗み、ログインします。そして、パスワードを変更してあなたを締め出し、登録メールアドレスも変更して、あなたがパスワードリセットもできないようにします。その後、あなたのアカウントを使って、預金を送金する、商品を不正購入する、友人を騙す、個人情報を盗むなど、様々な悪事を働きます。お金・アカウントを守る上で最も恐ろしい攻撃の一つです。

認証情報ベースのATO

最も一般的なタイプで、ユーザーのIDとパスワードを何らかの方法で入手してログインします。パスワードリスト攻撃（クレデンシャルスタッフィング）では、他のサービスから流出した認証情報を使い回します。多くの人が複数のサービスで同じパスワードを使っているため、一つのサービスから流出した情報が他のサービスでも使えてしまいます。
フィッシング詐欺では、偽のログインページに誘導してパスワードを入力させます。銀行やECサイトを装ったメールやSMSで「アカウントが凍結されました」「不正アクセスがありました」などと不安を煽り、偽サイトでパスワードを入力させます。
総当たり攻撃（ブルートフォース）やパスワードスプレーでは、よく使われるパスワードや推測しやすいパスワードを大量に試します。特にパスワードスプレーは、一つのアカウントに対して少数のパスワードを試すため、アカウントロックを回避できます。

セッションベースのATO

ユーザーがログインした後のセッション情報（セッションID、認証トークン、Cookie）を盗み、そのセッションを乗っ取ります。セッション固定／クッキー盗難では、マルウェアや中間者攻撃でCookieを盗み、ログイン状態のままアカウントにアクセスします。パスワードを知らなくても、有効なセッションがあればアカウントを使えるため、パスワード変更では防げません。
公共Wi-Fiなどの安全でないネットワークでは、暗号化されていない通信からセッション情報が盗まれることがあります。また、マルウェアに感染したパソコンでは、ブラウザに保存されたCookieが盗まれます。

多要素認証バイパスによるATO

多要素認証が有効なアカウントでも、それを突破する手法があります。SIMスワップでは、攻撃者が携帯電話会社を騙して電話番号を自分のSIMカードに移行させ、SMSで送られる認証コードを受け取ります。これにより、多要素認証を突破してアカウント乗っ取り（ATO）を実現します。
フィッシングキット（リアルタイムフィッシング）では、被害者が偽サイトに入力したパスワードと多要素認証コードをリアルタイムで盗み、即座に本物のサイトでログインします。被害者が認証コードを入力した瞬間に、攻撃者もそのコードを使ってログインします。
OAuth／SSOの悪用や同意画面フィッシング（OAuth同意詐欺）では、正規のOAuth認証フローを悪用して、ユーザーに気づかれずにアカウントへのアクセス権を得ます。

ソーシャルエンジニアリングによるATO

技術的な攻撃ではなく、人を騙してアカウント情報を得る手法です。カスタマーサポートを騙して、「パスワードを忘れた」「電話番号を変更した」などと偽り、アカウント情報の変更を依頼します。本人確認の質問（母親の旧姓、最初のペットの名前など）の答えをSNSから推測したり、公開情報を調べたりして突破します。
内部関係者を買収したり脅迫したりして、顧客のアカウント情報を入手することもあります。銀行や通信会社の従業員が、金銭と引き換えに顧客情報を漏らすケースが報告されています。

マルウェアによるATO

キーロガーやスパイウェアで、ユーザーがキーボードで入力するパスワードを盗みます。インフォスティーラーと呼ばれるマルウェアは、ブラウザに保存されたパスワード、Cookie、オートフィル情報などを一括で盗み、攻撃者に送信します。
バンキング型トロイの木馬は、オンラインバンキングのログイン情報を狙うマルウェアで、正規の銀行サイトにアクセスした際に偽の入力フォームを表示してパスワードを盗みます。

アカウント乗っ取り（ATO）で発生する直接的被害

金銭の直接的な窃取

銀行口座やクレジットカード、電子マネー、仮想通貨取引所のアカウントが乗っ取られると、預金や残高が直接盗まれます。攻撃者は本人になりすまして送金指示を出し、数分から数時間で全額を引き出します。2020年のTwitterの著名人アカウント乗っ取り事件では、ビットコイン詐欺により短時間で約1,200万円相当が盗まれました。ECサイトのアカウントが乗っ取られれば、登録されたクレジットカードで高額商品を不正購入されます。ポイントやマイレージも換金性が高いため、すべて使い切られたり売却されたりします。被害者は、金融機関やクレジットカード会社に連絡して取引を取り消す必要がありますが、対応が遅れれば補償されないこともあります。

個人情報の大規模な窃取と悪用

メールアカウントが乗っ取られると、過去のメールすべてにアクセスされ、そこに含まれる個人情報、家族や友人の連絡先、仕事の機密情報、他のサービスのパスワードリセットメールなどが盗まれます。メールアカウントは「デジタルアイデンティティの中心」であり、これが乗っ取られると他のすべてのアカウントも危険にさらされます。攻撃者はメールを使って他のサービスのパスワードリセットを行い、次々とアカウントを乗っ取ります。SNSアカウントからは、投稿履歴、写真、友人リスト、メッセージ履歴などが盗まれ、個人の生活や人間関係が丸裸にされます。これらの情報は、なりすまし犯罪、ストーカー行為、恐喝、さらなる詐欺などに悪用されます。

二次被害としての詐欺の踏み台

乗っ取られたアカウントは、友人や家族を騙す詐欺の道具として使われます。SNSアカウントから「困っているのでお金を貸してください」「プリペイドカードを買って番号を教えて」というメッセージが友人に送られ、信頼関係を悪用した詐欺が行われます。メールアカウントから取引先に「振込先口座が変更になりました」という偽メールが送られ、ビジネスメール詐欺（BEC）の被害を引き起こします。被害者本人だけでなく、その周囲の人々も被害に遭い、人間関係が破壊されます。本人は詐欺を働いた加害者のように見られ、信用を失います。

アカウント乗っ取り（ATO）で発生する間接的被害

アカウント回復の困難さと長期間の影響

アカウント乗っ取り（ATO）では、攻撃者がパスワード、メールアドレス、電話番号、セキュリティ質問の答えなど、すべての認証情報を変更してしまうため、本人がアカウントを取り戻すことが極めて困難です。サービス提供者のカスタマーサポートに連絡して本人確認を行う必要がありますが、身分証明書の提出、過去の取引履歴の確認、数週間から数ヶ月の調査期間など、時間がかかります。その間、重要なメールが受信できない、仕事のツールが使えない、友人と連絡が取れないなど、日常生活や仕事に深刻な支障が出ます。場合によっては、アカウントを永久に取り戻せないこともあります。

信用情報への影響と将来的な不利益

銀行口座やクレジットカードのアカウント乗っ取り（ATO）により不正な借入や未払いが発生すると、信用情報に傷がつきます。将来、住宅ローンやクレジットカードの審査で不利になります。なりすまして契約された携帯電話やサービスの料金が未払いになれば、本人の信用に影響します。これらの問題を解決するには、警察への被害届、信用情報機関への異議申し立て、各種契約の解除など、膨大な手続きが必要で、数年にわたって影響が残ることもあります。

精神的ストレスとプライバシーの喪失

アカウント乗っ取り（ATO）の被害者は、「自分の人生が乗っ取られた」という強い恐怖と不安を感じます。プライベートな写真、メッセージ、日記のようなSNS投稿が他人に見られ、悪用される恐怖は計り知れません。友人や家族に迷惑をかけたという罪悪感、「自分のせいで」という自責の念も強く感じます。夜も眠れない、常にスマホやパソコンをチェックする、オンラインサービスを使うことへの恐怖など、心理的なトラウマが長期間続くこともあります。プロのカウンセリングが必要になるケースもあります。

企業にとっての信用失墜と法的責任

顧客のアカウント乗っ取り（ATO）が多発する企業は、「セキュリティが甘い」と評価され、顧客が離れていきます。特に金融機関やECサイトでは、一度信用を失うと回復が困難です。個人情報保護法やGDPRに基づく法的責任も発生し、適切なセキュリティ対策を怠っていた場合は巨額の罰金が科されます。集団訴訟のリスクもあり、一件の大規模なアカウント乗っ取り（ATO）事件が企業の存続を脅かすこともあります。顧客への補償、システムの全面的な見直し、セキュリティ強化への投資など、数億円から数十億円のコストがかかります。

第1段階：ターゲットの選定と情報収集

攻撃者は、まず標的を選定します。富裕層、影響力のある人物、企業の経営者などの高価値ターゲットを狙う「標的型」と、不特定多数を狙う「無差別型」があります。標的を決めたら、SNSや公開情報から個人情報を収集します。生年月日、出身地、家族構成、趣味、勤務先、友人関係などが、後のソーシャルエンジニアリングやセキュリティ質問の突破に使われます。

第2段階：認証情報の取得

様々な手法で認証情報を入手します。パスワードリスト攻撃（クレデンシャルスタッフィング）では、ダークウェブで入手した流出認証情報を試します。一つのサービスで使えなくても、多くの人が複数のサービスで同じパスワードを使い回しているため、他のサービスで試します。
フィッシング詐欺では、緊急性を装ったメールで偽のログインページに誘導します。「アカウントが不正利用されました。24時間以内に確認してください」といったメッセージで焦らせ、冷静な判断を失わせます。
マルウェアを使う場合は、キーロガーやインフォスティーラーを被害者のデバイスに感染させ、パスワードやCookieを盗みます。

第3段階：初回ログインとテスト

入手した認証情報で実際にログインを試みます。成功したら、すぐには大きな操作をせず、まずアカウントの状況を確認します。残高はいくらか、どのような情報があるか、多要素認証は有効か、アカウントの活動状況はどうか、などを調べます。
この段階では、本人に気づかれないよう慎重に行動します。ログイン通知が本人に届いても、「異なる場所からのログイン」程度では多くの人が見過ごしてしまいます。

第4段階：アカウントの完全な掌握

本格的な乗っ取りに移ります。まず、パスワードを変更して本人を締め出します。次に、登録メールアドレスを攻撃者のものに変更し、本人がパスワードリセットメールを受け取れないようにします。電話番号も変更できれば変更します。
多要素認証が有効な場合、可能であれば無効化します。または、攻撃者のデバイスを「信頼済みデバイス」として登録し、以後の認証を不要にします。セキュリティ質問の答えも変更し、本人がカスタマーサポート経由で回復することも困難にします。

第5段階：悪用と利益の獲得

完全に支配したアカウントを使って、攻撃者の目的を実行します。金融関係のアカウントであれば、全額を送金したり引き出したりします。ECサイトであれば、高額商品を購入して転売します。ポイントやマイレージを換金します。
メールやSNSアカウントであれば、過去のメッセージや連絡先を調べ、友人や家族、取引先を騙す詐欺を仕掛けます。「緊急でお金が必要」「プレゼント用のギフトカードを買ってほしい」などのメッセージを送ります。
個人情報を大量に収集し、ダークウェブで売却したり、他の犯罪に使用したりします。アカウント自体を「乗っ取り済みアカウント」として売却することもあります。

第6段階：証拠の隠滅と逃走

目的を達成したら、痕跡を消します。ログイン履歴を削除できるサービスでは削除し、送信したメールやメッセージを削除し、取引履歴を消去しようとします（完全には消せないことが多いですが）。
そして、アカウントを放置するか、パスワードを再度変更して本人にも使えないようにするか、または本人が回復できるように元に戻すこともあります（証拠隠滅のため）。

大規模なTwitterアカウント乗っ取り（2020年7月）

史上最大規模のSNSアカウント乗っ取り（ATO）事件です。攻撃者は、Twitterの内部管理ツールにアクセスするため、従業員を標的としたソーシャルエンジニアリング攻撃を行いました。電話でTwitterのIT部門を装い、複数の従業員から認証情報を騙し取りました。
内部管理ツールへのアクセスに成功した攻撃者は、バラク・オバマ、ジョー・バイデン、イーロン・マスク、ビル・ゲイツ、ジェフ・ベゾス、カニエ・ウェストなど、130以上の著名人アカウントを一斉に乗っ取りました。
乗っ取ったアカウントから「ビットコインを送れば2倍にして返す」という詐欺ツイートを投稿し、短時間で約12万ドル（約1,200万円）相当のビットコインを騙し取りました。フォロワー数が数百万から数千万のアカウントであるため、瞬く間に拡散しました。
この事件は、内部者への攻撃がいかに効果的か、そして著名人アカウントの乗っ取りがいかに大きな影響力を持つかを示しました。Twitterは事件後、内部ツールのアクセス管理を全面的に見直し、従業員への多要素認証を強化しました。

SIMスワップによる仮想通貨窃取

2019年、アメリカで複数の仮想通貨投資家が、SIMスワップによるアカウント乗っ取り（ATO）の被害に遭いました。攻撃者は、携帯電話会社の従業員を買収したり、カスタマーサポートを騙したりして、被害者の電話番号を攻撃者のSIMカードに移行させました。
電話番号を掌握した攻撃者は、SMSで送られる多要素認証コードを受け取れるようになりました。これを使って、仮想通貨取引所のアカウントにログインし、パスワードを変更し、すべての仮想通貨を自分のウォレットに送金しました。
ある被害者は、一晩で約2,400万ドル（約26億円）相当のビットコインを盗まれました。別の被害者は、複数の取引所とウォレットから合計で数百万ドルを失いました。
この事件は、SMS認証の脆弱性と、SIMスワップが多要素認証を無力化することを示しました。多くの取引所やサービスは、SMS認証からアプリベースの認証（Google Authenticatorなど）への移行を推奨するようになりました。

企業メールアカウント乗っ取りによるBEC詐欺

2018年、ヨーロッパの大手製造業の経理担当者のメールアカウントが乗っ取られました。攻撃者は、フィッシングメールで認証情報を盗み、数週間にわたってメールを監視し、取引先との支払いパターンを学習しました。
ある日、取引先への大口支払い（約300万ユーロ）の直前に、攻撃者は乗っ取ったメールアカウントから取引先に「振込先口座が変更になりました」というメールを送りました。メールは過去のやり取りの返信形式で、自然な文面でした。
経理担当者は、いつもと同じメールアドレスから来たメールであるため疑わず、指定された新しい口座に送金しました。実際にはこの口座は攻撃者のもので、送金後すぐに複数の口座に分散され、現金化されました。
数日後、本物の取引先から「入金がまだですが」と連絡があり、詐欺が発覚しました。しかし、その時点で資金の回収は不可能でした。
この事件は、アカウント乗っ取り（ATO）が単なる個人被害にとどまらず、ビジネスメール詐欺（BEC）の起点となり、企業に巨額の損害を与えることを示しました。

オンラインバンキングの大規模乗っ取り

2016年、東欧のサイバー犯罪グループが、バンキング型トロイの木馬「Dridex」を使って、数千のオンラインバンキングアカウントを乗っ取りました。マルウェアは、フィッシングメールの添付ファイルやマクロを通じて配布されました。
感染したユーザーが銀行サイトにアクセスすると、マルウェアが偽のログインフォームを表示してパスワードを盗みました。さらに、正規のログイン後も、マルウェアがバックグラウンドで不正送金を実行しました。画面には通常の残高が表示されたままで、ユーザーは気づきませんでした。
多要素認証が有効なアカウントでも、マルウェアはリアルタイムでSMSコードを盗んだり、ユーザーに偽の「セキュリティ確認」画面を表示してコードを入力させたりしました。
この攻撃により、数百万ドルが盗まれ、複数の国の銀行と顧客が被害を受けました。犯罪グループのメンバーは最終的に逮捕されましたが、盗まれた資金の大部分は回収できませんでした。

個人ができる対策

強力で一意なパスワードの使用

各サービスで異なる、推測困難なパスワードを使用します。12文字以上で、大文字、小文字、数字、記号を組み合わせます。パスワードマネージャー（1Password、LastPass、Bitwardenなど）を使えば、強力なパスワードを自動生成し、安全に保管できます。同じパスワードを複数のサービスで使い回さないことが最も重要です。

多要素認証の必須化

すべての重要なアカウント（メール、銀行、SNS、ECサイトなど）で多要素認証を有効にします。SMS認証よりも、アプリベース認証（Google Authenticator、Microsoft Authenticator、Authyなど）の方が安全です。SMS認証はSIMスワップで突破される可能性があるためです。可能であれば、物理セキュリティキー（YubiKey、Titan Securityキーなど）を使用すると、さらに強固な保護が得られます。

フィッシング詐欺への警戒

メールやSMSのリンクを安易にクリックせず、送信元を確認します。急を要する内容や、個人情報の入力を求めるメッセージは特に注意します。ログインが必要な場合は、メール内のリンクではなく、ブラウザに直接URLを入力するか、ブックマークから アクセスします。

定期的なアカウント監視

ログイン履歴、取引履歴、アカウント設定を定期的に確認します。見覚えのないログインや不審な活動があれば、すぐにパスワードを変更し、サービス提供者に連絡します。多くのサービスは、不審なログインがあった際にメールで通知してくれるので、これらの通知を見逃さないようにします。

セキュリティ質問の適切な設定

セキュリティ質問の答えを、推測しやすいものや公開情報から分かるもの（母親の旧姓、出身地など）にしないことが重要です。正直に答える必要はなく、パスワードと同様に推測困難な文字列を設定し、パスワードマネージャーに保存しておくことが推奨されます。

個人情報の公開制限

SNSのプライバシー設定を見直し、不必要に個人情報を公開しません。生年月日、住所、電話番号、家族構成、勤務先などの情報は、アカウント乗っ取り（ATO）のソーシャルエンジニアリングに使われます。

マルウェア対策

信頼できるセキュリティソフトをインストールし、常に最新の状態に保ちます。不審なファイルをダウンロードしない、怪しいWebサイトにアクセスしない、OSやアプリを最新版にアップデートするなど、基本的な対策を徹底します。

サービス提供者ができる対策

リスクベース認証の実装

ログイン時のリスクを評価し、リスクが高い場合は追加認証を要求します。いつもと異なる場所からのアクセス、新しいデバイスからのアクセス、短時間での大量ログイン試行、VPNやTorからのアクセスなどを検知し、追加の本人確認を行います。

デバイスフィンガープリンティング

ユーザーのデバイスを識別し、信頼済みデバイスからのアクセスと新しいデバイスからのアクセスを区別します。新しいデバイスからのログインには、メール確認や追加認証を要求します。

異常検知とアカウント監視

ユーザーの通常の行動パターンを学習し、異常な活動を検知します。深夜の大量送金、通常と異なる場所への送金、パスワードとメールアドレスの連続変更、大量の商品購入など、不審な活動を自動的に検出し、アカウントを一時停止します。

アカウントロックアウトと遅延

短時間での複数回のログイン失敗があった場合、アカウントを一時的にロックします。また、ログイン試行の間に遅延を設けることで、総当たり攻撃を困難にします。

CAPTCHA認証

ボットによる自動化された攻撃を防ぐため、ログイン時やアカウント作成時にCAPTCHA認証を導入します。特に、複数回のログイン失敗後は必ずCAPTCHAを表示します。

通知と警告

ログイン、パスワード変更、メールアドレス変更、大きな取引などの重要な操作が行われた際、ユーザーに即座に通知します。本人でない場合は、簡単に無効化できるリンクを提供します。

段階的な権限付与

新しいデバイスやIPアドレスからのログインでは、最初は限定的な権限のみを付与し、時間をかけて徐々に信頼度を高めます。大きな取引や設定変更には、追加認証を要求します。

セッション管理の強化

セッションタイムアウトを適切に設定し、長時間放置されたセッションは無効化します。重要な操作の前には再認証を要求します。複数デバイスでの同時ログインを監視し、不審な場合は全セッションを無効化します。

企業ができる対策

従業員教育と訓練

従業員にアカウント乗っ取り（ATO）のリスクを教育し、パスワード管理、フィッシング識別、多要素認証の重要性を理解させます。定期的にフィッシングシミュレーションを実施し、実践的なトレーニングを行います。

特権アカウントの厳格な管理

管理者アカウントや特権アカウントは、特に厳格に管理します。物理セキュリティキーの必須化、アクセスログの詳細な記録、定期的な権限見直し、使用しないアカウントの無効化などを徹底します。

内部脅威への対策

従業員による不正やソーシャルエンジニアリングへの協力を防ぐため、背景調査、定期的な監査、内部通報制度の整備などを行います。カスタマーサポート担当者への教育を強化し、電話でのなりすましに騙されないようにします。

インシデント対応計画の整備

アカウント乗っ取り（ATO）が発生した場合の対応手順を明確にします。アカウントの一時停止、被害調査、顧客への通知、法執行機関への報告、再発防止策の実施などを迅速に行える体制を整えます。

即座に実施すべき対応

アカウントへの再アクセス試行

まだログインできる状態であれば、すぐにパスワードを変更します。既にパスワードが変更されてログインできない場合は、「パスワードを忘れた」機能を使ってリセットを試みます。ただし、登録メールアドレスも変更されている場合は、この方法は使えません。

サービス提供者への緊急連絡

すぐにサービス提供者のカスタマーサポートに連絡し、アカウントが乗っ取られたことを報告します。アカウントの一時停止、不正な取引の取り消し、調査の開始を依頼します。電話、メール、チャットなど、複数の連絡手段を試します。

金融機関への連絡

銀行口座やクレジットカードが関連している場合、すぐに金融機関に連絡してカードを停止します。不正な取引があれば、異議申し立てを行います。多くの金融機関は、迅速に報告すれば被害額を補償してくれます。

他のアカウントの保護

乗っ取られたアカウントと同じパスワードを使っている他のアカウントがあれば、すぐにパスワードを変更します。特に、メールアカウントが乗っ取られた場合、他のすべてのアカウントも危険にさらされるため、重要なサービスのパスワードを全て変更します。

被害の確認と証拠の保全

被害の全容把握

何が盗まれたか、どのような操作が行われたか、誰に迷惑メッセージが送られたかなど、被害の全容を確認します。取引履歴、ログイン履歴、メッセージの送信履歴などをスクリーンショットで保存します。

警察への被害届

金銭的被害が発生した場合、警察のサイバー犯罪相談窓口に相談し、必要に応じて被害届を提出します。被害届の受理番号は、金融機関や保険会社への補償請求に必要になることがあります。

知人への通知

乗っ取られたアカウントから詐欺メッセージが送られた可能性がある友人、家族、同僚に連絡し、不審なメッセージを無視するよう伝えます。SNSで公開投稿できる状態であれば、「アカウントが乗っ取られました。私からのメッセージを信用しないでください」と告知します。

再発防止と長期的な対策

パスワード管理の全面見直し

すべてのアカウントで強力で一意なパスワードを設定します。パスワードマネージャーを導入し、パスワードの使い回しを完全に排除します。

多要素認証の有効化

まだ有効にしていないアカウントで、すべて多要素認証を有効にします。SMS認証だけでなく、アプリベース認証や物理セキュリティキーも検討します。

デバイスのセキュリティチェック

パソコンやスマートフォンをウイルススキャンし、マルウェアに感染していないか確認します。感染が疑われる場合は、OSを再インストールします。

信用情報の監視

定期的に信用情報を確認し、なりすましで作られた口座やローンがないか監視します。クレジットカードの明細も毎月チェックし、不正利用がないか確認します。

心理的サポート

アカウント乗っ取り（ATO）は心理的なトラウマを残すことがあります。必要に応じて、カウンセリングやサポートグループを利用します。周囲の人に相談し、一人で抱え込まないことも大切です。