今、この記事を読んでいるあなたは、Meta広告アカウントの不正利用にあった方でしょうか?

今回は、私が2023年に実際に経験したMeta広告アカウントのハッキング被害についてお話しします。

このような被害は以前から報告されていますが、私自身が直面したのは初めてです。この記事では、不正利用が発覚した際の対応策再発防止のためのポイントを、実体験に基づいて共有します。同様の被害に遭われた方や、予防したい方の参考になれば幸いです。​なお、ここでは不正アクセスを行った人物を「ハッカー」と呼ぶことにします。

被害の経緯

  • 10月6日
    • 18:30:ハッカーがクライアントのログイン情報を使用し、既存のキャンペーンを複製しました。​
    • 19:00:審査通過後、ハッカーが日予算を100万円に設定しました。​
  • 10月7日
    • 02:30:ハッカーが日予算を200万円に引き上げました。​
    • 11:00:私がアカウントを確認したところ、既に約100万円が消費されていました。キャンペーンの停止を試みましたが、ハッカーにより編集権限が変更されており、操作ができませんでした。
    • 12:00:クライアントに連絡し、状況を共有。クライアントも変更を試みましたが、同様に権限がなく対応不可でした。同時にMetaサポートチームへ連絡しました。
    • 12:30:Metaサポートチームより、広告アカウントがハッキングされたことが確認されました。広告費の不正利用は複雑な問題であり、調査に時間がかかるとのこと。一旦サポートとのやり取りは終了し、担当部署に引き継がれました。
    • 13:00:クライアントが経理部門に連絡し、クレジットカードの停止手続きを行いました。​
  • 12月2日
    • 全ての調査が完了し、Metaから全額返金の対応が完了しました。​総額10,526,964円の不正利用が確認されました。

実際に行った対応策

今回の被害は、3連休前日の夕方という“隙”を狙われたものでした。私は土日もアカウントを確認していたため、土曜朝に異常に気づくことができました。
しかし、代理店や企業のインハウス運用では週末チェックがない場合が多く、被害が拡大しやすいです。

以下は、今回私たちが講じた具体的な対応策です。

  • Metaサポートに即時連絡し、被害報告
  • クレジットカード会社への緊急連絡・利用停止
  • 不正利用が検知されたカード(アメックス)は即時ブロック対応してくれた一方、別のカード会社は対応が遅れた → 事業用カード選びの重要性を痛感

再発防止のために行ったこと

  • ログインセキュリティの見直し
     電話番号ベースの二段階認証を、認証アプリ(Google Authenticatorなど)に切り替え
  • アカウント権限の見直し
     不要な権限の削除、最小限の管理者設定を再設計。
  • 社内の対応ルールの明文化
     万が一に備えて、週末や連休前後のアカウントチェック体制を整備。

クライアントのアカウントが乗っ取られていたため、ログイン方法の見直しを実施しました。​二段階認証を電話番号認証からアプリ認証に切り替えることで、フィッシングによる被害リスクを低減しました。Xでもポストしているので、気になる方は見てみてください。

また、今回の件について川手さん(@RKawtr)も記事にしてくださり、多くの方に注意喚起を届けることができました。細かく書いていただいているので、詳しくはこちらを参考にしてください。

認証アプリを用いたFacebookアカウントの二段階認証設定方法

また川手さんはXからDMもくださり、親身になってくださいました。一人でバタバタ不安になっている時に連絡をくださり、非常に心強かったです。ありがとうございました。

不正利用を防ぐためのチェックリスト

以下のような項目を定期的にチェックしておくと、被害の予防につながります。

  • Metaビジネスマネージャーの管理者を定期的に見直している
  • 二段階認証はアプリ認証に設定済み
  • クレジットカードの不正利用検知サービスを利用している
  • 土日・連休中でもアカウント確認の体制がある
  • 操作ログやキャンペーンの異常な予算変更などを定期監視している

参考:Metaサポートへの問い合わせ方法(私の事例)

  • 問い合わせ手段:ビジネスヘルプセンターのチャット機能
  • 対応までの時間:最初の返信まで約30分、その後は担当部署に引き継ぎ
  • 対応の印象:初期対応はスピーディー。調査完了・返金までは2か月弱かかったが、最終的には全額返金という結果に。

他媒体でも注意を

今回の事例はMeta広告でのハッキングでしたが、Google広告やX(旧Twitter)広告でも同様の被害報告があります。どの媒体でも、以下のようなセキュリティ対策を怠らないことが重要です。

  • 多要素認証(MFA)
  • IP制限(利用できるネットワークの制限)
  • 社内でのセキュリティ教育の徹底

まとめ:被害を最小限にするには「平時の備え」と「迅速な対応」

ハッキングや不正利用は、完全に防ぐのが難しい面もあります。
しかし、万が一の際に冷静に対処し、事前の備えを怠らないことで、被害を最小限に抑えることができます。

特に広告運用に携わっている方にとっては、【セキュリティ対策も広告パフォーマンスと同じくらい重要な“仕事”】です。

💬 コメント歓迎!

もし同様の経験をされた方がいれば、どのような対応をされたかXでシェアして教えていただけると嬉しいです!
また、「この記事が役立った!」という方は、ぜひSNSなどでシェアしてもらえると励みになります。