SNSで増える「怪しいDM」と、身近になった情報漏洩
近年、SNS上で「興味あったらLINE登録して」「副業を教える」「限定コミュニティに招待」などの文言を使った不審なダイレクトメッセージ(DM)を受け取る人が増えています。一見すると親しげで、個別に声をかけられているように見える一方、その目的は個人情報の取得、外部アプリへの誘導、金銭詐取、アカウント乗っ取りなど多岐にわたります。SNSは日常の延長にあるため警戒心が下がりやすく、結果として被害が顕在化しやすいのが特徴です。
その反動として「投稿はせず閲覧だけにする(見る専)」という行動も広がっています。見る専はリスク低減に一定の効果があるものの、DMの受信設定、連携アプリ、アカウント保護が不十分だと、閲覧中心でも被害に遭う可能性は残ります。本記事では、実務的な観点からSNSの典型的な攻撃手口と、個人が取れる自衛策を整理します。
なぜSNSは狙われるのか:攻撃者にとって都合のよい「情報の宝庫」
SNSは、攻撃者にとって「本人確認に使える断片情報」が自然に集まる場です。誕生日、居住エリア、通勤・通学先、家族構成、趣味嗜好、交友関係、行動時間帯などが投稿・プロフィール・タグ付け・写真の背景から読み取れます。これらは単体では小さな情報でも、組み合わされることでパスワード推測やなりすまし、ソーシャルエンジニアリング(心理的誘導)に利用されます。
また、SNSは拡散力が高く、DMやコメントで「個別最適化した詐欺(スピアフィッシング)」がしやすい環境です。さらに、アカウントが乗っ取られると、被害者の知人へ攻撃が連鎖するため、攻撃者は少ない労力で大きな成果を得られます。
典型的な手口:LINE誘導、外部リンク、認証情報の搾取
LINEや別プラットフォームへの誘導
「LINEで話そう」「別のアプリの方が便利」など、SNS外へ誘導するのは定番の手口です。SNS側の監視や通報機能、なりすまし検知を回避し、より閉じた空間で心理的圧力をかけやすくなります。誘導先で個人情報の提示を求められたり、投資・副業・ロマンス詐欺へ移行したりします。
短縮URL・外部リンクでのフィッシング
「当選しました」「あなたの写真が載っている」など興味や不安を煽る文面でリンクを踏ませ、偽ログイン画面に誘導してID・パスワードを盗みます。短縮URLや、公式に似せたドメイン名が使われると見分けが難しくなります。
認証コード・本人確認のだまし取り
メッセージで「認証のためコードを教えて」などと言い、SMSや認証アプリのコードを聞き出すケースがあります。これは二要素認証(2FA)を破る典型例で、コードを渡した時点でアカウントを奪われるリスクが急上昇します。
プレゼント企画・副業・投資・恋愛を装う長期戦
即時に害を与えるのではなく、数日〜数週間かけて信頼関係を作り、金銭送付や個人情報提出へ導く手口もあります。丁寧な言葉遣い、共通の趣味、身の上話などで「相手が実在する善意の人」に見せるのが特徴です。
「見る専」は安全か:投稿しなくても残るリスク
見る専は、公開投稿からの情報露出を減らせるため有効です。しかし、次の点を見落とすと「閲覧だけでも被害が起きる」状態になります。
DMは届く:受信設定が開放されていると、詐欺DMの入口になります。
過去投稿・プロフィールが残る:過去の投稿、自己紹介、アイコン、ユーザー名の変遷が手がかりになることがあります。
連携アプリが残る:過去に許可した外部サービスが、アカウント情報や投稿権限を持ったままの可能性があります。
パスワードの使い回し:別サービスから漏れた認証情報がSNSにも使われていると、投稿しなくても乗っ取りは成立します。
個人が今すぐできる自衛策:設定と習慣で被害を減らす
DM受信と公開範囲を最小化する
最初に見直すべきは「誰からDMを受け取れるか」「コメントやメンションの範囲」「フォロー申請の承認制」「プロフィールの公開範囲」です。知らない相手からのDMを遮断できれば、攻撃の多くは入口で止まります。仕事や発信活動でDMが必要な場合も、フィルタ機能や制限機能を優先し、例外的に必要な範囲だけ開ける運用が現実的です。
二要素認証を有効化し、認証コードは絶対に渡さない
二要素認証は、パスワードが漏れても即時の乗っ取りを防ぐ重要な防壁です。可能であれば認証アプリ方式を優先し、SMS方式は予備として考えます。そして最重要ルールは「認証コードは誰にも教えない」です。運営を名乗る相手でも、コードの提示を求めること自体が不自然だと理解しておく必要があります。
パスワード管理を見直す(使い回しをやめる)
SNS乗っ取りの多くは、他サービスから流出したID・パスワードの使い回しで発生します。各サービスごとに固有の強いパスワードを設定し、可能ならパスワードマネージャーを利用して管理負担を下げます。パスワード変更だけでなく、漏洩が疑われる場合は「ログイン中の端末一覧」や「セッションの強制ログアウト」も確認します。
外部リンクは「踏む前に確認」する
短縮URLは展開してリンク先を確認し、公式サイトに見せかけたドメイン(綴り違い、不要な記号、別のトップレベルドメイン)に注意します。ログインを求められた場合は、リンクから入らず公式アプリやブックマークからアクセスし直すのが安全です。
連携アプリと権限を棚卸しする
SNSの設定画面で「連携中のアプリ」「許可した権限」を定期的に見直し、不要なものは解除します。特に「投稿・DM送信・プロフィール参照」など強い権限を持つ連携は、放置すると被害時の影響が大きくなります。
個人情報の出し方を変える(投稿しないだけでは不十分)
誕生日、学校名、勤務先、最寄り駅、子どもの情報、生活圏が特定できる写真などは、断片的でも危険度が上がります。写真は背景(表札、制服、車のナンバー、公共料金の書類、画面の映り込み)にも注意し、位置情報の扱いも確認します。ハンドルネームやアイコンを複数サービスで使い回すと名寄せされやすいため、用途ごとに分けることも有効です。
被害に遭ったときの初動:スピードが二次被害を減らす
「怪しいDMを開いた」「リンクを踏んだ」「コードを教えてしまった」「勝手に投稿された」など異変があれば、次の順で対応します。
パスワード変更:同じパスワードを使っている他サービスも含めて変更します。
二要素認証の再設定:既に突破されている可能性を想定し、認証手段を見直します。
ログイン端末・セッションの確認:不審なログインを排除し、強制ログアウトします。
連携アプリの解除:見覚えのない連携や不要な連携を外します。
周囲への注意喚起:知人に同様のDMが届く連鎖を止めます。
通報・相談:プラットフォームへの通報、金銭被害があれば決済事業者や警察等への相談を検討します。
SNSは「使い方の設計」で安全性が変わる
SNSの不安が高まり、見る専に移行する人が増えるのは自然な流れです。ただし安全性は「投稿するかどうか」だけで決まらず、DM受信設定、二要素認証、パスワードの分離、連携権限の棚卸しといった基本設計で大きく左右されます。攻撃者は巧妙な言葉で心理の隙を突いてきますが、入口を狭め、突破されても被害を局所化する設定と習慣を整えれば、SNSは必要以上に恐れるものではなくなります。
不審なDMに対しては「反応しない」「外へ移動しない」「コードを渡さない」を徹底し、日常的なメンテナンスとしてアカウント保護を見直すことが、最も現実的で効果の高い自衛策です。