
企業SNSの乗っ取り対策|なりすましを防ぐ最初のアカウント設定
「会社のアカウント、もし乗っ取られたらどうしよう」
ふとした瞬間に、そんな不安がよぎることはありませんか。 自分ひとりで「中の人」を担っていると、パスワードもログイン情報も自分だけが握っていて、何かあったときに相談できる相手がいない。だからこそ、乗っ取りやなりすましの話は、他人事に思えないですよね。
でも、ここで覚えておきたいことがあります。 乗っ取りを防ぐためにやることは、実はそれほど多くありません。 難しい専門知識も、特別なツールもいりません。基本の設定をいくつか押さえておくだけで、リスクはぐっと下げられます。
この記事では、「今日ひとつだけでも設定しておけば安心が増える」手順を、順番に整理します。全部を一度にやらなくて大丈夫です。上から一つずつで十分です。
結論:企業SNSの乗っ取り・なりすまし対策は、次の3つを押さえれば土台ができます。
① 2段階認証(ログイン時にコードを追加で確認するしくみ)をオンにする——今日やるなら、まずこれ。
② ログイン情報と権限を整理する——パスワードの使い回しをやめ、複数人で使うなら「誰がどこまで触れるか」を分ける。
③ 怪しいDM・メールを見分ける——「アカウントが凍結されます」系のリンクは踏まない、を全員のルールにする。
そして、もし乗っ取られてしまったときの一次対応も、後半で手順にしておきました。「起きてから調べる」より「先に知っておく」だけで、対応がずいぶん落ち着きます。
何が起きているのか——乗っ取りは「特別な誰か」だけの話ではない
「うちみたいな小さなアカウントが狙われるの?」と思うかもしれません。 でも、乗っ取りの多くは、特定の誰かを狙い撃ちしたものばかりではありません。フォロワー数の多い少ないに関わらず、隙のあるアカウントが機械的に狙われることがあります。
よくあるきっかけは、次のようなものです。
- パスワードを他のサービスと使い回していて、どこかの流出情報から入られる
- 「無料でフォロワーが増える」「認証バッジがもらえる」といった偽のサービスに、うっかりログイン情報を渡してしまう
- 「あなたのアカウントに違反があります」という偽のDM・メールのリンクから、本物そっくりの偽ログイン画面に入力してしまう
どれも、「気をつけていなかったから」ではありません。本物と見分けがつきにくいように作られているから、つい引っかかってしまうんです。誰にでも起こりうることとして、備えておけば大丈夫です。
乗っ取られると、会社の名前で不審な投稿やDMが送られたり、お客さまに被害が及んだりします。だからこそ、「起きてから慌てる」のではなく、「起きにくくしておく」ことに、少しだけ時間を使っておきたいところです。
対策の全体像——3つの守りで考える
やることを一つずつ挙げると多く見えますが、役割で分けると3つだけです。ここを地図として持っておくと、迷いません。

- 認証:ログインの入口を固める。パスワードだけに頼らず、2段階認証を足す。
- 権限:アカウントに触れる人・つながっているアプリを整理する。
- 警戒:乗っ取りのきっかけになる怪しいDM・メールを見分ける。
この3つを、次から順番に見ていきます。
① 認証を固める——まず2段階認証をオンにする
今日ひとつだけやるなら、これです。 2段階認証とは、パスワードを入れたあとに、もう一段階「本人確認」を足すしくみのこと。スマホのアプリに表示されるコードや、パスキー(指紋・顔などで本人を確認する新しい方式)を使います。これがあると、仮にパスワードが漏れても、もう一段階を突破できないと入られません。
設定するときのコツは3つです。
認証アプリかパスキーを使う(SMSより安全) SMS(電話番号への番号送信)でも2段階認証はできますが、電話番号は乗っ取られることもあります。可能なら、認証アプリ(Google認証システムなど、コードを表示する専用アプリ)や、パスキーを選ぶと、より安心です。
バックアップコードを控えておく 2段階認証をオンにすると、「スマホを機種変更したら入れなくなった」ということが起こりがちです。設定時に発行されるバックアップコード(予備の合言葉)を、印刷するかパスワードマネージャーに保存しておきましょう。ここを飛ばすと、自分でログインできなくなる方が困ります。
パスワードそのものも見直す 2段階認証と合わせて、パスワードの使い回しをやめます。他のサービスと同じパスワードだと、そこが漏れたときに一緒に破られます。長めのパスワードを一つずつ変え、パスワードマネージャー(パスワードを安全に保管するアプリ)で管理すると、覚えられない問題も解決します。
各SNSで「設定 → セキュリティ」の中に2段階認証の項目があります。呼び名はサービスごとに少し違いますが、探す場所はだいたい同じです。
② 権限を整理する——「誰が・何が」触れるかを分ける
ひとり運用でも複数人運用でも、意外と見落とされるのが「アカウントにつながっているもの」です。ここを整理しておくと、思わぬ入口をふさげます。
連携アプリ・外部サービスを見直す 過去に「このアプリと連携しますか?」で許可した分析ツールや予約投稿ツールが、使っていないのに残っていることがあります。「設定 → セキュリティ → 連携アプリ(アプリとの連携)」を開き、今使っていないものは連携を解除しましょう。使わない鍵は減らしておくのが安心です。
複数人で使うなら、個人アカウント経由の権限付与にする 何人かで運用する場合、共通のID・パスワードを回し使いするのは避けたいところです。担当者が変わるたびにパスワードを変えるのは大変ですし、退職した人がまだ入れてしまう、という問題も起きます。
FacebookやInstagramならビジネス用の管理ツール(Meta Business Suiteなど)から、Xなら権限を分けて委任できるしくみから、「各自の個人アカウントに、必要な範囲の権限だけを渡す」形にしておくと安全です。こうすれば、担当交代のときも、その人の権限を外すだけで済みます。
ログイン中の端末を確認する 「設定 → セキュリティ」には、今ログインしている端末の一覧が見られる項目があります。身に覚えのない端末や、もう使っていない古いスマホが残っていたら、そこからログアウトさせておきましょう。
③ 警戒する——きっかけになる「怪しいDM・メール」を見分ける
対策の設定をしても、最後の入口は「人がうっかり情報を渡してしまう」ことです。ここは設定ではなく、見分けるルールを持っておくことで守ります。
特に多いのが、こんな連絡です。
- 「あなたのアカウントに著作権侵害の報告がありました。24時間以内に確認しないと凍結されます」
- 「認証バッジの申請が承認されました。こちらから手続きを」
- 「フォロワーを無料で増やせます。ログインして連携するだけ」
いずれも、不安や期待をあおって、リンクをタップさせ、偽のログイン画面に情報を入れさせるのが狙いです。本物のプラットフォームは、DMのリンクからパスワードを入れさせるような案内は基本的にしません。
見分けの合言葉は、「急かされたら、いったん立ち止まる」。
- リンクはタップせず、公式アプリ・公式サイトを自分で開いて確認する
- 送信元のアカウント名・メールアドレスが公式のものか見る(そっくりの偽物が多い)
- 少しでも迷ったら、その場で判断せず、社内の誰かに一声かける
一人で「これ本物かな」と抱え込むより、「怪しいものは踏まない・確認する」をチームの共通ルールにしておくのがいちばん効きます。
もし乗っ取られてしまったら——落ち着いて動く手順
備えていても、万が一は起こりえます。そのときのために、順番だけ知っておきましょう。手順があるだけで、パニックを避けられます。
- まだ入れるなら、すぐパスワードを変える——ログインできる状態なら、真っ先にパスワードを変更し、2段階認証を確認します。
- 連携アプリ・ログイン中の端末をすべて見直す——不審な連携やログインを解除し、他人の入口を閉じます。
- 各SNSの復旧・報告窓口に連絡する——ログインできなくなっている場合は、各プラットフォームの「アカウントにアクセスできない」「乗っ取り報告」窓口から手続きします。
- 社内・関係者に共有する——「乗っ取りの可能性があり対応中」と一報を入れます。会社の名前で不審なDMが送られている場合は、注意喚起も検討します。一人で抱え込まないことが大事です。
- 落ち着いてから、原因と再発防止を振り返る——どこから入られたかを確認し、②③の設定を締め直します。
乗っ取り対策チェックリスト
今日から順番に潰していける形にしました。全部を一度にやらなくて大丈夫。上から一つずつで十分です。
認証(入口を固める)
- 2段階認証をオンにしたか
- SMSより認証アプリ・パスキーを選べたか
- バックアップコードを控えたか
- パスワードの使い回しをやめたか
- パスワードマネージャーで管理し始めたか
権限(触れる人・ものを分ける)
- 使っていない連携アプリを解除したか
- 複数人運用なら、個人アカウント経由の権限付与にしたか
- ログイン中の端末に、身に覚えのないものがないか見たか
警戒(きっかけを見分ける)
- 「凍結」「認証バッジ」「無料でフォロワー」系のDMを踏まないルールを共有したか
- リンクは踏まず公式アプリ・公式サイトで確認する、を習慣にできたか
- 迷ったら一人で判断せず相談する、を決めておいたか
もしものとき
- 乗っ取り時の連絡・復旧の手順を、どこかに書き留めておいたか
よければ、こちらも
- 投稿前の「これ出して大丈夫?」の確認は 企業SNS投稿前セルフチェックリスト にまとめています。
- 何かあったときの一次対応の型は 企業SNS炎上対応フロー|起きる前に決める一次対応の型 が参考になります。
- 担当交代でも運用が止まらない備えは コメント・DM対応の運用ルールと返信テンプレの作り方 と合わせてどうぞ。

乗っ取りやなりすましの話は、考えるだけで少し怖くなります。 でも、こうして手順を読んでいる時点で、あなたはもう備え始めています。
一度に完璧に固めなくて大丈夫です。 今日は2段階認証をオンにする。明日は連携アプリを見直す。そんなふうに、一つずつで十分です。 守りが一枚増えるたびに、夜の不安が少しずつ軽くなっていきます。
本記事は一般的な実務情報です。各SNSのセキュリティ機能の名称・仕様や設定手順は頻繁に変わります。最終的な設定方法や乗っ取り時の対応は、各プラットフォームの最新の公式ヘルプ、および自社の情報セキュリティ方針でご確認ください。