松岡 秀樹 | プロパゲートCEO

12/25に発生したハッキングに伴う Google広告不正出稿について進捗共有です。 ・MCCアカウント自体は復旧 ・Google側の説明では「不正出稿前の状態に戻した」とのこと ただし重要な点として ・不正キャンペーン／不正出稿金額の請求自体は残ったまま ・不正利用分の返金判断は未確定 という状態が続いています。 現在の広告配信状況は以下です。 ・クレジットカード会社側でGoogleにチャージバック（支払い拒否）対応したアカウント 　→ 広告配信再開 ・チャージバック不可だったアカウント 　→ 不正出稿額を弊社が建て替え対応の上で広告配信再開 ・一部アカウント 　→ 強制停止状態が継続しており、編集・操作不可 ⸻ 完全解決には至っていませんが 実被害の復旧・再開対応を進める中で、 同様の被害やリスクを懸念した相談・対応依頼が増えている状況です。 広告運用は成果を出して終わりではなく セキュリティ・復旧・非常時対応まで含めて設計する。 その責任を背負いながら運用することが 「代理店の価値」だと今回あらためて腹を括りました。 引き続き進捗があり次第、事実ベースで共有します。

「2段階認証を入れてるから大丈夫」 自分もそう思ってました。 その状態で普通にやられました。 ハッカーにより12/25〜27の3日間で5,800万円もの広告が不正に出稿され、3週間経ちました。いまだにGoogleからの正式回答はありません。該当の広告アカウントは凍結されています。 最近のハッキングは2段階認証を“突破する”攻撃じゃありません。そもそも守られていない場所から入られます。 Google広告に限らず、決済・管理権限を持つWebサービスを使っている人に向けて ・侵入される確率を下げる ・侵入されても被害を最小で止める 「現実的な対策」について書きます。 ⸻ ① まず「端末」を疑う Cookie／セッションは端末側に保存されます。 つまり、端末が汚染された時点で認証は意味を失います。 ・管理者ログイン用PCを1台に固定 ・そのPCのブラウザは拡張機能ゼロ ・野良ツール／無料ツールは入れない ・フリーWi-Fiで管理画面を開かない ②「フィッシングが入る導線」を潰す 入口はいまも、ここが一番多いです。 ・管理画面は必ずブックマークから ・メール／DMのURLは踏まない ・権限付与／招待は 　→ リンクを踏まず 　→ 自分で管理画面を開いて確認 ③ 権限を最小化する 今の時代、「完璧に防ぐ前提」は捨てるべきです。 入られても全部は触れない構造を作る。 ・管理者（Admin）は最小人数（2名推奨） 　※1名だと凍結・復旧時に詰む ・日常運用は標準権限 ・退職／休眠ユーザーは即削除 ・外部追加／リンク／請求変更は二重承認 ④ 決済を守る 検知より、金額制限の方が確実に効きます。 ・決済カードはアカウント毎に分離 ・カード上限を低めに設定 ・請求／予算変更は即通知（Slack等） ⑤ 監視を人ではなく“仕組み”に任せる 致命傷になるのは気づくまでの時間。 ・ユーザー追加 ・権限変更 ・MCCリンク ・請求設定変更 → 起きた瞬間に即通知 → 週次で棚卸し（チェックリスト化） ⸻ 2段階認証は必要です。 ただし、それだけで安全な時代は終わっています。 これはGoogle広告だけの話じゃない。 ログインして使うWebサービスは全部同じ構造です。 ①〜⑤を全部やるのは正直コストです。 でも AI時代にインターネットで事業やるなら これは必須投資。 今回、身に染みて理解しました。

「2段階認証を入れてるから大丈夫」 自分もそう思ってました。 その状態で普通にやられました。 ハッカーにより12/25〜27の3日間で5,800万円もの広告が不正に出稿され、3週間経ちました。いまだにGoogleからの正式回答はありません。該当の広告アカウントは凍結されています。 最近のハッキングは2段階認証を“突破する”攻撃じゃありません。そもそも守られていない場所から入られます。 Google広告に限らず、決済・管理権限を持つWebサービスを使っている人に向けて ・侵入される確率を下げる ・侵入されても被害を最小で止める 「現実的な対策」について書きます。 ⸻ ① まず「端末」を疑う Cookie／セッションは端末側に保存されます。 つまり、端末が汚染された時点で認証は意味を失います。 ・管理者ログイン用PCを1台に固定 ・そのPCのブラウザは拡張機能ゼロ ・野良ツール／無料ツールは入れない ・フリーWi-Fiで管理画面を開かない ②「フィッシングが入る導線」を潰す 入口はいまも、ここが一番多いです。 ・管理画面は必ずブックマークから ・メール／DMのURLは踏まない ・権限付与／招待は 　→ リンクを踏まず 　→ 自分で管理画面を開いて確認 ③ 権限を最小化する 今の時代、「完璧に防ぐ前提」は捨てるべきです。 入られても全部は触れない構造を作る。 ・管理者（Admin）は最小人数（2名推奨） 　※1名だと凍結・復旧時に詰む ・日常運用は標準権限 ・退職／休眠ユーザーは即削除 ・外部追加／リンク／請求変更は二重承認 ④ 決済を守る 検知より、金額制限の方が確実に効きます。 ・決済カードはアカウント毎に分離 ・カード上限を低めに設定 ・請求／予算変更は即通知（Slack等） ⑤ 監視を人ではなく“仕組み”に任せる 致命傷になるのは気づくまでの時間。 ・ユーザー追加 ・権限変更 ・MCCリンク ・請求設定変更 → 起きた瞬間に即通知 → 週次で棚卸し（チェックリスト化） ⸻ 2段階認証は必要です。 ただし、それだけで安全な時代は終わっています。 これはGoogle広告だけの話じゃない。 ログインして使うWebサービスは全部同じ構造です。 ①〜⑤を全部やるのは正直コストです。 でも AI時代にインターネットで事業やるなら これは必須投資。 今回、身に染みて理解しました。

「2段階認証を入れてるから大丈夫」 この前提でWebサービスにログインしている人は一度立ち止まって読んでほしい。 今回自分は 2段階認証が有効な状態でやられました。 「2段階認証が弱い」という話ではありません。 問題は 2段階認証が“何を守っていて、何を守っていないか”がほとんど知られていないことです。 ⸻ 多くの人は、ログインをこう理解しています。 「ID＋パスワード」 →「2段階認証」→「ログイン完了」 だから 「2段階認証を入れていれば安心」 と思っている。 ここまでは自然です。 ⸻ でも実際のシステムはここで終わっていない。 ログインが成功した瞬間、 ブラウザの中では別のことが起きています。 システム側は毎回 「ID＋パスワード＋2段階認証」を要求しているわけではありません。 一度本人確認が通ると、ブラウザの中に 「この人は、すでに本人確認済み」 という情報を保存します。 これが Cookie／セッション情報。 これがあるから ・毎回ログインしなくていい ・2段階認証も毎回出ない ・タブを閉じてもログイン状態が保たれる つまり、 便利さを成立させている“仕組みそのもの”。 ⸻ ここまで聞いて、 「なるほど便利だな」で終わる人がほとんど。 でも、攻撃者（ハッカー）はここを見ています。 ハッカーが本当に欲しいのは IDやパスワードじゃない。 この「本人確認済み」の状態そのものです。 ⸻ Cookie／セッションの情報を盗まれると何が起きるか。 ・IDを入力していない ・パスワードも入力していない ・2段階認証も表示されない それでも “ログイン済みのあなた”として、そのまま中に入れる。 なぜなら、 システムから見ると 「もう本人確認は終わっている人」だから。 これが セッションハイジャック とや呼ばれる手口です。 ログインされていない。 “ログイン済みの状態を持ち込まれている”のです。 ⸻ では、その情報はどうやって盗まれるのか？ 調べたところ今、世界的に多い入口は大きく2つあります。 A）フィッシングメール ・Googleなどから来たように見える ・アクセス権付与／招待／通知 ・見た目は本物とほぼ同じ そこでログイン情報を入力してしまうと、裏でセッション情報含め全てを取得される。 最近は2段階認証コードを“リアルタイムで入力させる”仕組みまである。 B）端末側からの情報窃取 ここで出てくるのがマルウェア。 難しい言葉だけど、要は PCに入り込む見えない盗聴器のようなものです。 ・Googleの拡張機能 ・ZIP／PDF／Excel ・便利そうな無料ツール ・フリーWi-Fiとの組み合わせ 上記が典型的な入り口となり、 Cookie／セッション情報だけを抜かれる。 ⸻ ・2段階認証は正しく機能している ・でも守っているのは「ログイン時」だけ ・ログイン後の状態を盗まれたら関係ない だから通知も来ず、警告も出ず、気づいた時には被害が拡大している。 これはGoogle広告だけの話じゃないです。 Google・Meta・X・LINE・Slack・Notion・AWS Webでログインして使うサービス全部が対象になる話です。 自分は不正ハッキングされ2週間経ちますが ・Googleアカウントは復旧 ・Google広告アカウントは使用不可 ・不正出稿（5,800万超）の返金判断は未回答 という 「復旧作業にすら制限がかかるフェーズ」を体感しています。 ⸻ 今後私の反省も込めて 「ハッキングをどう防ぐのか」 （端末／ログイン経路／権限設計／運用ルール） について具体的な対策も投稿していきます。