「自分のアカウントはハッキングされない」は危険な思い込みです
広告アカウントの乗っ取りは、標的型攻撃ではなく自動化されたオペレーションです。攻撃者はMeta Business Suiteを誰が運用しているか知りません。Chrome拡張機能、PDF添付ファイル、クラックされたソフトウェアを数万人にばらまいて、広告セッションが残っているブラウザを1つでも引っかければ、それで終わりです。
Metaがこれらの攻撃の仕組みを詳述した公式セキュリティリサーチレポートを公開しています。主要なマルウェアは2つ:NodeStealerとDucktailです。
出典:Meta Engineering — The malware threat landscape: NodeStealer, DuckTail, and more
NodeStealerとDucktailの正体
どちらもMeta Businessアカウントの乗っ取りに特化して作られたマルウェアです。汎用ウイルスではなく、広告運用者をピンポイントで狙っています。
| 項目 | NodeStealer | Ducktail |
|---|---|---|
| 主な対象OS | Windows | Windows(一部macOS) |
| 開発言語 | JavaScript(Node.jsパッケージ) | .NET / Python |
| 狙うもの | Facebookログインクッキー | セッショントークン+保存済みパスワード |
| 配布方法 | Chrome拡張機能、偽ユーティリティ | 偽の採用メール、クラックされたゲーム |
| 目的 | 広告セッションを奪い、不正広告を配信 | 同上 |
手法は違いますが、結果は同じです。感染するとブラウザセッションを乗っ取り、Meta Business Suiteにログインして、あなたの広告アカウントで不正広告を配信します。クレジットカードの上限まで使い切られます。
Ducktail:採用メール偽装+クラックソフト
Ducktailには主に2つの配布ルートがあります。
1. 採用メール偽装
「添付の採用資料をご確認ください」。LinkedInやメールから届くファイルの正体は.exeファイルです。マーケティング担当者や代理店スタッフが主なターゲットです。
2. クラックソフト
クラックされたAdobe、Office、ゲームのインストーラーにバンドルされています。「無料Photoshop」を1回ダウンロードしただけで、アカウント全体が奪われます。
感染後、Ducktailはブラウザに保存されているすべてのセッショントークンを抽出します。Chrome、Edge、Firefox — すべて対象です。保存済みパスワードも同様です。
NodeStealer:本当の危険はChrome拡張機能
NodeStealerはさらに巧妙です。Chrome拡張機能ストアを通じて正規に配布されています。
「Canva代替ツール」「AI画像生成ツール」「Facebook広告最適化ツール」といった拡張機能が、実はNodeStealerの亜種です。ストア審査を通過するほど完成度が高く、名前だけでは見分けがつきません。
インストールされると、拡張機能はFacebookドメインのクッキーを読み取り、外部サーバーに送信します。2FAを完全にバイパスします。クッキーは認証済みのセッションを表すため、Ads Managerへのアクセスに再ログインが不要だからです。
感染後、NodeStealerはシステムに入り込み、ユーザーがログインするたびにクッキーを盗み続けます。
すでに感染しているかもしれない兆候
以下のいずれかが見つかったら、疑ってください。
- Business Suiteに見覚えのない広告キャンペーンが表示される
- 日予算が自動的に引き上げられたというアラート(自動化ルールを設定していないのに)
- 使った覚えのない支払い方法への請求
- Business Suiteのログインアクティビティに見知らぬ国やIPアドレスが記録されている
- ページ管理者リストに知らない人が追加されている
- 広告アカウントに突然特別広告カテゴリの警告が表示される(攻撃者が金融・ギャンブル広告を出そうとしている)
2つ以上該当したら、アカウントはすでに侵害されていると想定して、直ちに復旧に取りかかってください。
予防策 — 3つだけです
セキュリティはハッキング不可能にすることではありません。攻撃コストを十分に引き上げて、攻撃者があなたを飛ばして次のターゲットに移るようにすることです。3つの基本対策でほとんどカバーできます。
1. 2FAは必須です
Business Suiteアカウントすべてで2FAを有効にしてください。認証アプリ(Google Authenticator、1Password)はSMSより安全です。SIMスワッピング攻撃もブロックできます。
2. Chrome拡張機能の断捨離
インストール済みの拡張機能を開いて、レビューが少ない不明なソースのものを削除してください。特に「広告最適化」「自動化」と名のつくものは要注意です。実際に使っているものだけ残して、定期的に見直しましょう。
3. 月1回のBusiness Suite権限監査
Business Suite → 設定 → メンバー を開いて、すべての管理者とパートナーを確認してください。
- 退職したスタッフが残っていませんか?
- 代理店との契約が終了したのに権限がそのままではありませんか?
- 管理者に見覚えのないメールアドレスはありませんか?
一度侵入した攻撃者は、低レベルの権限を少なくとも1つ残していきます。定期的な監査でしか発見できません。
すでに被害に遭った場合 — 復旧の順番
慌てないでください。順番通りに進めましょう。
- パスワードを即座に変更 + すべてのデバイスから強制ログアウト(
Facebook設定 → セキュリティ → ログインセッション) - 2FAを有効にする(まだの場合)
- Business Suite管理者リストから見覚えのない管理者を削除
- 広告アカウントの不明なキャンペーンを停止 + 支払い方法を確認
- クレジットカード会社に不正請求の異議申し立てを行う(攻撃者の広告費を回収できることが多いです)
- Meta Business ヘルプセンターにアカウント乗っ取りの報告を提出
- Business Suiteのログインログを24時間以上監視(攻撃者は再試行します)
- 疑わしいデバイスでフルウイルススキャン — またはOSを再インストール
これらの攻撃がなくならない理由
Metaがどれだけ検知を強化しても、攻撃者は毎日新しい亜種を出荷します。レポートではこれを「adversarial adaptation(敵対的適応)」と呼んでいます。MetaがA亜種をブロックすると、3日後にB亜種が登場します。最近ではChatGPTやOpenAIになりすますツールも登場しています。
つまり、プラットフォームに防御を頼る時代は終わりました。広告運用者が自分自身のセキュリティを管理するのがデフォルトです。
この記事はセキュリティに関するトピックで、書籍の範囲外です。広告の構造やキャンペーン運用の実践的なガイダンスについては、「Meta広告1巻」をご覧ください。