コロプラ取締役会長のXアカウントが不正アクセス被害、約15年放置されたアカウントのリスクとは

コロプラ取締役会長のXアカウント不正アクセス事件の概要

2025年9月30日、モバイルゲーム大手のコロプラが、同社取締役会長である馬場功淳氏のXアカウントが不正アクセスを受けた可能性があると発表しました。この事件は、現代のデジタル社会における新たなセキュリティリスクを浮き彫りにしています。

今回の事件で最も注目すべきは、被害を受けたアカウントが約15年前に開設され、長期間運用されていなかった「放置アカウント」だったということです。コロプラの発表によると、同社も馬場氏自身もこのアカウントの存在を把握できていなかったとされています。

現役のCSIRTメンバーとして多くのインシデント対応を経験してきた私から見ると、この「放置アカウント」への攻撃は、従来のセキュリティ対策の盲点を突いた巧妙な手法といえます。

長期間使用していないアカウントは、当然ながら最新のセキュリティ設定が適用されていません。2010年頃のSNSアカウントと現在では、パスワードポリシーや二段階認証の有無など、セキュリティレベルに大きな差があります。

定期的にログインしないアカウントは、不審なアクティビティがあっても気づかれにくく、攻撃者にとって格好の標的となります。実際に私が担当したフォレンジック調査でも、数年間放置されていた企業幹部のSNSアカウントが乗っ取られ、フィッシング詐欺に悪用された事例を複数確認しています。

企業幹部のアカウントが乗っ取られた場合、そのアカウントから不適切な投稿がされる可能性があります。フォロワーや一般消費者は、それが本人の発言だと誤解し、企業全体のイメージダウンにつながるリスクがあります。

乗っ取られたアカウントは、しばしばフィッシング詐欺の踏み台として利用されます。信頼性の高い企業関係者のアカウントから送られるメッセージは、受信者が警戒心を解きやすく、攻撃の成功率が高くなります。

まずは自分が過去に作成したSNSアカウントを全て洗い出しましょう。メールアドレスの受信履歴を確認すれば、登録した覚えのないサービスからの通知メールが残っている場合があります。

使用していないアカウントは積極的に削除することをお勧めします。削除が困難な場合は、最低限以下の設定を行ってください：

残しておくアカウントについては、定期的にログインして不審なアクティビティがないかチェックしましょう。多くのSNSでは、ログイン履歴や異常なアクセス試行を確認できる機能があります。

企業は役員や従業員が業務に関連して作成したSNSアカウントを把握し、適切に管理する必要があります。特に以下の点に注意が必要です：

今回のコロプラのように、迅速な情報開示と注意喚起を行える体制を整えることが重要です。SNSアカウントの不正アクセスに特化したインシデント対応手順を準備しておくべきでしょう。

アンチウイルスソフトやVPN といった基本的なセキュリティ対策に加え、企業においてはWebサイト脆弱性診断サービスの実施により、Webサイト経由での攻撃リスクを最小限に抑えることも重要です。

私がこれまでに担当したSNSアカウント乗っ取り事件の分析結果から、攻撃者の手法には一定のパターンがあることが分かっています。

特に注意すべきは、攻撃者が複数のアカウントを同時に狙う「大規模なアカウント乗っ取りキャンペーン」です。このような攻撃では、放置されているアカウントが特に狙われやすい傾向があります。

従来の「信頼するか・しないか」という二元論から、「全てを疑って検証する」ゼロトラストの考え方が重要になっています。SNSアカウントについても、過去の信頼関係に依存せず、常に最新の認証方式を採用することが求められます。

機械学習を用いた異常行動の検知システムも注目されています。普段とは異なる時間帯やデバイスからのアクセス、投稿パターンの変化などを自動的に検出し、アラートを発信する技術の導入が進んでいます。

今回のコロプラ取締役会長のXアカウント不正アクセス事件は、デジタル社会における新たなセキュリティリスクを明確に示しています。「使っていないから安全」という考えは既に通用せず、むしろ「放置している」ことがリスクになる時代に突入しています。

個人も企業も、過去に作成したデジタル資産の棚卸しと適切な管理を行うことで、このようなリスクを最小限に抑えることができるでしょう。セキュリティは「やったら終わり」ではなく、継続的な取り組みが必要なのです。