どうもー、こんにちは。最近は本格的に冬になってきましたね。と思ったら20度超える日があったりと、服装に困っているゆーじです。
今日は、以前被害にあったMeta広告アカウントの不正利用についてです。
以前から定期的に発生しているみたいですが、今回初めて被害にあいました。今後被害にあった方のために、不正利用発覚後の行動について残しておきます。
また、被害に遭わないための予防策も記載しておきますので、参考にしていただければと思います。
ここでは、不正利用した相手のことを「ハッカー」と呼ぶことにします。
被害ログ
- 10/6
- 18時半、ハッカーが、クライアントのログイン情報を使い、キャンペーンを複製。
- 19時、ハッカーが審査通過後、日予算を100万円に変更。
- 10/7
- 2時半、ハッカーが予算を200万円に変更。
- 11時、ゆーじがアカウントを確認したところ、既に100万円ほど配信済み。
- キャンペーン停止など諸々変更を試みるも、ハッカーによって編集権限が変更されており対応できない。
- 12時、クライアントに連絡。その後クライアントにも変更対応を試みてもらうも、同様に権限がなくなっており対応ができず。同時にMetaサポートチームにも連絡。
- 12時半、Metaサポートチームより広告アカウントのハッキングと確定。
- 広告アカウントをハッキングされて広告費を使われた場合、複雑な問題になるので調査に時間がかかるとのこと。一旦サポートとのやり取りは終了。担当部署に引き継ぎ、調査を依頼。
- 13時、クライアントより経理に連絡。クレジットカードの停止対応をしていただく。
- 12/2
- 全ての調査が完了し、Metaから全額返金の対応も完了。
- 総額¥10,526,964の不正利用。
- 全ての調査が完了し、Metaから全額返金の対応も完了。
対応したこと
今回、被害にあったタイミングが3連休の前日の夕方で、ほとんどの人がアカウントを見ることのないタイミングを狙っていたと思われます。
私は個人でやっているため、土日もアカウントを見るため、幸いにも土曜日の朝に気がつくことができたため、被害を最小限に抑えることができました。
しかし、もし被害にあったのが広告代理店やインハウス運用している企業のアカウントだったとしたら、土曜日にアカウントを見ることがないと思いますので、3連休後の火曜日に発覚していたため、被害は拡大していたかと思います。(日予算は500万円まで引き上げられていたので2000万円近く配信が出ていた可能性もあります…)
また、クライアント様の個人の連絡先も知っていたので、繋ぐことができてすぐに対応をしていただくことができました。
対応したこととしては、ログにも記載しましたが以下2点となります。
- Metaサポートに連絡
- クレジットカードの停止
アカウントの権限も変更されてしまっていたため何もできず、できることは限られていました。
またクレジットカードに関しては、2枚登録していたのですが、アメックスに関しては不正利用を検知してサポートから連絡が来ました。その後の対応も迅速で、カードの利用停止〜新規カード発行まで対応いただきました。もう1社に関しては特に連絡もなく、こちらから連絡をしても土曜日のため担当部署には繋げず、対応が連休明けになるとのことで…結果そのカードで被害が拡大しました。
カード会社の対応も様々で、こういう時に迅速な対応をしてくれる会社がいいですね。やはり、ビジネスにはアメックス、ですね。
あと対応したこととしては、今回はクライアントのアカウントを乗っ取られていたので、ログイン方法の見直しを実施しています。
二段階認証をしていても、電話番号認証ではフィッシングによって盗られる可能性もあるので、アプリでの二段階認証に切り替えていただきました。Xでもポストしているので、気になる方は見てみてください。
また、今回の件について川手さん(@RKawtr)も記事にしてくださり、多くの方に注意喚起を届けることができました。細かく書いていただいているので、詳しくはこちらを参考にしてください。
また川手さんはXからDMもくださり、親身になってくださいました。一人でバタバタ不安になっている時に連絡をくださり、非常に心強かったです。ありがとうございました。
まとめ
誰でも被害に遭う可能性があり、100%防げることではないので、もし今後被害に遭われた方がいたら、この記事を見て一つずつ対応をしていただければと思います。
もちろん、被害に遭う方が0となることを祈っています。
