デジタルマーケティングTips
ケーススタディ:SNSキャンペーン参加者を偽サイトに誘導する悪質スパムへの対策
企業等のSNSアカウント運用は、自社になりすました偽アカウントによる被害を常に警戒する必要があります。当社が関わった施策で起こった事例を例に挙げつつ、自社ブランドやファンを守るための対策をご紹介します。
要点
メルマガでも情報を配信中です! ぜひご登録ください。
事例:SNS投稿へのコメント投稿者を偽サイトに誘導するスパムコメント
キャンペーン投稿への返信/コメントを、悪意あるユーザーが狙っている
SNSでキャンペーンを行う場合、「本投稿への返信・コメントでご応募ください」「当選者には個別にご連絡します」という方法がとられる場合があります。応募方法が別である場合も、告知投稿にファンの方々が「応募しました!」等の返信・コメントをつけることは珍しくありません。
ここで注意すべき点として、まれに、個人情報詐取等を狙う悪質ユーザーが、キャンペーン実施企業のアカウントになりすまして、これらのコメントに当選告知の返信をつけ、個人情報詐取用の偽サイトに誘導するケースが存在します。
放置しておくと個人情報詐取等の犯罪に自社が巻き込まれることになり、企業/ブランドの信頼を失うことになりかねません。キャンペーン運営時には、このようななりすましユーザーによる犯罪への対策も重要です。
悪質ななりすましアカウントのコメント(イメージ図)
昔の投稿が狙われると把握が困難な場合も
要注意なのは、キャンペーンが終わって時間が経過した過去の投稿コメントが狙われる場合もあることです。
キャンペーン開催中は、一般的に期間限定の「運営事務局」が設置されることが多く、外部協力会社と組んだ監視体制の構築も比較的容易です。しかし、通常の運用時に、スクロールでたどるのが困難な昔のコメントが狙われた場合、多忙なSNS担当者が通知の羅列の中から確実に悪質行為を見つけられるとは限らない、という問題は頭に入れておく必要があります。
対応策と予防策
これらは問題が起こってから個別に対応するのが基本ではありますが、問題が起こりにくくなるような予防策をとることも可能です。複数の対策を組み合わせていくと、確実性を上げやすくなります。
対応策
予防策
対応策1:コメントや元投稿を削除する
- ○メリット……手っ取り早くスパムを消せる
- ×デメリット…再発リスクが残る
コメント・返信を非表示化
即効性の高い対処として、まずは悪質コメントを手動で消していくのが基本です。自分の投稿についたコメント・返信の表示を制御できるSNSでは、個別に[…]メニューやメッセージ長押しメニュー等を開くと、コメント・返信を非表示化できます。
元投稿を削除
何年も前のキャンペーン告知等、役割を終えた昔の投稿が悪質アカウントに狙われた場合、アカウントの数と被害投稿の件数によっては、元投稿を消す方が対応コストを抑えられる場合があります。
Facebook・Instagram・LINE VOOMのように、コメントが元投稿と同格でないシステムになっている場合は、元の投稿を削除すると、ぶら下がったコメントもすべて削除されます。
なお、進行中の施策では基本的に行わない方が無難です。特に元投稿へのコメント・返信がキャンペーン応募条件である場合、元投稿が消えるとすでに集まっている応募が無効化(もしくは収集不可能)になるため、削除は厳禁です。元投稿を残しつつ悪質なコメントを個別に削除もしくは運営報告していく必要があります。
対応策2:なりすましをSNS運営に報告(通報)して処分してもらう
- ○メリット……問題の根本を絶てる
- ×デメリット…確実性に欠ける、悪質アカウント数が多いと対応に手間がかかる
継続的に被害を起こすことが想定される悪質ななりすましアカウントは、コメントの個別削除だけでなく、アカウント単位でも積極的に対処していく必要があります。
ログイン状態であれば、該当コメントの隅にある[…]メニュー等から[コメントを報告]等でなりすましやスパムの報告が可能です。報告はSNSの運営スタッフが検討し、悪質と判断されれば、投稿強制削除やアカウント停止・凍結等の処分が下されます。
なお、処分が行われるかどうかはSNS運営元の判断次第であり、確実に希望通りになるとは限りません。また、判断に時間がかかる可能性もあります。
豆知識:自社アカウント未開設のSNSでなりすましがあった場合の報告
該当SNSのアカウントがない場合も、各SNSの被害報告フォームが用意されていれば報告が可能です。
- X(旧Twitter):https://help.twitter.com/ja/forms/authenticity/impersonation
- Instagram/Threads:https://help.instagram.com/contact/636276399721841
- Facebook:https://www.facebook.com/help/contact/295309487309948?locale=ja_JP
所属企業の確認を行う都合上、フォームに入力するメールアドレス・電話番号については原則として所属企業のものがおすすめです。
場合によっては身分証明書の撮影・送信による本人確認手続きが必要になります。運転免許証・マイナンバーカード等の写真付き身分証明書をあらかじめ用意しておくと便利です。
予防策1:認証バッジを取得する
- ○メリット……信頼感アップ、なりすまし被害が深刻な場合の対応省力化
- ×デメリット…申請の敷居の高さ、費用がかかる場合も
アカウントの真贋を分かりやすくする手段として、各SNSで提供している認証バッジ付与制度が活用できます。
認証バッジは、もともとは著名アカウントの真正性をSNS運営元が審査して付与する制度がメインで、取得できるのは有名人・有名企業/ブランドに限られていました。現在は、X(Twitter)の「認証済み組織」やInstagram・Facebookの「Meta認証」のような、費用が発生する代わりに一般の企業・個人でも導入可能な制度も作られています。
有償サービスの一部では、なりすましの監視支援等の追加機能が提供される場合もあります。認証バッジ以外のメリットと併せて費用対効果を検討することが重要です。
- X(Twitter):認証済み組織(有償)
https://help.twitter.com/ja/using-x/verified-organizations - LINE:認証済アカウント
https://www.lycbiz.com/jp/column/line-official-account/technique/20190726/ - Instagram:認証バッジ(著名アカウント用) / Meta認証(有償、一般企業/個人用)
https://help.instagram.com/733907830039577 - Facebook:認証バッジ(著名アカウント用) / Meta認証(有償、一般企業/個人用)
https://www.facebook.com/help/1288173394636262 - TikTok:認証バッジ
https://support.tiktok.com/ja/using-tiktok/growing-your-audience/how-to-tell-if-an-account-is-verified-on-tiktok - YouTube:認証バッジ
https://support.google.com/youtube/answer/3046484?hl=ja
予防策2:自社サイトで公式アカウントを明示的に指定
- ○メリット……信頼性の高い場所(自社ドメイン)から実在性を担保できる
- ×デメリット…自社サイトの更新を確実に行う必要がある
認証バッジを使用しない場合、一般ユーザーから見てそのアカウントが本物かなりすましかは、アカウント単体では判断できません。このような場合は、自社公式サイトからSNSアカウントにリンクすることで、実在性を担保することが可能です。
アカウントが多い場合、自社ドメインの公式サイト内に、アカウント一覧のページを作成しておくと、ユーザーが確認しやすくなります。なりすましアカウントへの注意喚起として、SNSアカウント一覧ページを共有する投稿を行ったり、プロフィールに入れたりすると、より効果的です。
なお、注意点として、アカウント開設時・閉鎖時には該当ページを忘れずに更新する必要があります。入れ替わりが激しい場合は、Web・SNSチーム間の情報共有を密にしておくのがおすすめです。
予防策3:個人情報入力フォームを自社ドメイン内に設置
- ○メリット……フォーム登録者から見て真贋が見分けやすい
- ×デメリット…外部フォームサービスの利用に制限が出る
賞品発送先等の個人情報をWebフォームから入力する場合、なりすまし防止の観点では、自社ドメイン内(サブドメイン含む)にフォームを設置するのがベストです。外部のフォーム提供サービス(Googleフォーム等)の標準ドメインや、サービスのドメイン内に自社名で設置するサブドメインの場合、ユーザーから見て本物と偽物を見分ける根拠が不十分になります。なりすましには絶対に設置不可能な場所にフォームを置くことが重要です。
注意点として、外部フォームサービスを使用している場合、自社サブドメインの割り当てに対応しないか、できても上位プランに限定される場合があります。その場合は、自社サイト内に設置する独自フォームへの移行を含めて検討する必要があります。
当選者向けフォームの不正防止策
当選者のみフォームで情報を入力する場合、当選者以外を受け付けない仕組みを用意しておく必要があります。例としては以下です。
- 当選アカウントでのOAuth認証を必須にする
※APIが有料の場合、当選者数に合わせてAPI費用と応答数上限を検討しておく必要あり - 各当選者を追跡できる一意のハッシュ文字列を割り当て、当選連絡時にパラメーターつきのURLを連絡する
(複数回登録やパラメーターなしでのアクセスはエラーになる)
SNSで個人情報を受け取る場合の注意点
賞品発送先等の個人情報は、フォームがなくても、技術的にはSNSのダイレクトメッセージで直接送受信可能です。が、その場合個人情報の管理には注意が必要です。
DMで送受信した情報は、そのままだと履歴内に残り続けます。個人情報保護法では、利用の必要がなくなった個人情報(施策終了後の当選者連絡先等)を遅滞なく消去することを、個人情報取扱事業者の努力義務と定めています(第22条)。
当選者数が少数(数人~数十人程度)であれば、キャンペーン終了後全員分の該当受信メッセージや会話スレッドを個別に削除すれば、自社管理下の個人情報を破棄できます。(当選者側の送信履歴やSNSのサーバーには残ります)
当選者数が多い場合(数千人~数万人等)は、DMで情報を直接やり取りするより、当選者をフォームに誘導して個人情報を入力してもらい、終了後データベース内に蓄積された情報をまとめて削除する方が効率的です。
※参照:個人情報の保護に関する法律(令和6年2月16日施行版) | e-Gov法令検索
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057_20240216_505AC0000000032#Mp-At_22
予防策4:通常時もコメント監視体制を組んでおく
- ○メリット……初動が早くなり被害を抑えやすい
- ×デメリット…継続的に人的リソースが必要
キャンペーン実施期間中は一時的に悪質投稿・コメントの監視を強化したが、終了後は他の施策が忙しくて、コメント等は不定期にまとめて確認が精一杯……という状態だと、悪質なりすましアカウントの付け入る隙ができます。実際、何年も前に終わったキャンペーン告知が狙われたりしています。
迅速な対応を行い被害を最小限に抑えるには、通常時も毎日(毎営業日)定期的にコメント監視を行う人的リソースを、あらかじめわずかでも確保しておくことが重要です。自社内で対応が難しい場合は、SNS運用支援を行うパートナー企業等に相談するのがおすすめです。
まとめ
悪意あるなりすましアカウントは、いつどこで自社SNSのフォロワーを狙っているかわかりません。
フォロワーと自社ブランドを守るためには、平時に予想外のスパムが来る可能性を意識しつつ、あらかじめ偽者を見分けやすくしておき、なりすましやスパムに迅速に対応できる体制を常時整えておくことが重要です。
関連サービス
プロモーション支援
新商品発売時や、メモリアルな
キャンペーン時などに実施するプロモーションは
実績豊富な当社にお任せください。
企画提案から公開後の運用まで、
お客様のチームの一員として対応いたします。
Webサイト運用
大規模なコーポレートサイトや
ECサイトも効率的に運用します。
Webサイトの品質維持と価値向上のために、
計画(PLAN)・実行(DO)・評価(CHECK)
・改善(ACTION)のサイクルを確立し、
Webサイトを継続的に改善していきます。
マックスマウスからのお知らせ
SNSマーケティング担当者向けのお役立ち情報をメールマガジンでお届け!
SNS規約改定・仕様変更の情報はもちろん、情報発信の安定化・効率化、SNSを活用したプロモーションなどなど、SNS/Webマーケティング関係者向けの課題解決に役立つ、便利なサービス情報や活用法などをご案内します。
いますぐご登録ください!
