【実録】Meta広告で300万円の不正利用被害!発覚から再発防止策まで全手順を公開

web広告

  • HOME
  • ブログ
  • web広告
  • 【実録】Meta広告で300万円の不正利用被害!発覚から再発防止策まで全手順を公開

Web広告、特にMeta広告(Facebook広告・Instagram広告)は、多くの企業にとって欠かせない集客ツールです。しかし、その利便性と高い効果の裏には、巧妙化するアカウント乗っ取りや不正利用といった、ビジネスの存続さえ脅かしかねない深刻なリスクが潜んでいることをご存知でしょうか。

本記事では、実際に当社が経験した「わずか10時間で300万円」というMeta広告の不正利用被害について、発覚の瞬間から緊急対応、そして徹底した再発防止策まで、その一部始終を包み隠さずお伝えします。

これは決して他人事ではありません。広告運用担当者であれば誰もが「明日は我が身」と感じるであろうこの事例を通じて、自社のセキュリティ体制に潜む脆弱性を洗い出し、見直すきっかけとなれば幸いです。

\ 動画でも視聴できます /

meta広告のっとり
動画を見る

株式会社クロスリスティングでは、Meta広告を含めた広告運用コンサルティングを提供しております。BtoC、BtoB問わず、様々な業種業態での広告運用で得た知見に基づき、最適な広告プランニングをご提案します。
サービス紹介資料のダウンロードはこちら

広告効果を高めたい方必見、Facebook・Instagramの特徴と広告の勝ちパターンを徹底解説!ダウンロードは無料です。
解説資料のダウンロードはこちら

Contents
  1. 悪夢の始まり——ある朝突然、広告費が300万円に
  2. 不正利用の巧妙な手口とは?——狙われたのは「退職済み社員」のアカウント
  3. パニックの中で行った緊急対応の全記録
  4. 関係各所への連絡と調査依頼
  5. 【最重要】二度と被害に遭わないための徹底した再発防止策
  6. あなたの会社は大丈夫?今すぐセキュリティ体制の見直しを

悪夢の始まり——ある朝突然、広告費が300万円に

meta-hacked-1

それは2025年3月上旬のことでした。いつものように朝出社し、日課である広告のパフォーマンスを確認した時、信じられない事態が発生していました。

当社のサービスを案内し、見込み顧客を獲得するためのMeta広告キャンペーンは、運用開始から3ヶ月が経過し、目標CPA(顧客獲得単価)も安定して達成するなど、非常に順調に進んでいました。誰もが、その日もいつもと同じ成果報告ができると信じていたのです。

しかし、その日、広告管理画面に表示された数字に私たちは言葉を失いました。

「利用金額:3,124,580円」

前日まで数万円だったはずの広告費が、一夜にして300万円以上に膨れ上がっていたのです。設定していた1日の予算は5万円。明らかに異常事態でした。何かの表示エラーではないかと何度も画面を更新しましたが、数字は変わりません。

何が起きているのか理解できないまま、とにかくこれ以上の被害拡大を防ぐため、私たちは急いで全てのキャンペーンを停止しました。詳しく調べてみると、私たちが設定したものとは別に、見覚えのないキャンペーンが作成され、数百万円という異常な日予算で稼働していたことが判明したのです。

不正利用の巧妙な手口とは?——狙われたのは「退職済み社員」のアカウント

meta-hacked-2

一体誰が、どのようにして私たちの広告アカウントを操作したのでしょうか。調査を進めると、衝撃の事実が明らかになりました。不正な操作は、すでに退職した社員の個人のFacebookアカウントを通じて行われていたのです。

おそらく、その退職社員のアカウントが何者かに乗っ取られ、広告マネージャへのアクセス権限を悪用されたものと考えられます。退職者のアカウントは、業務から離れると管理が疎かになりがちで、攻撃者にとっては格好の標的です。残念ながら、そのアカウントには「二段階認証」が設定されておらず、パスワードさえ突破されれば誰でもアクセスできる、セキュリティが非常に甘い状態でした。

不正に作成された広告は、海外向けと思われる、当社のサービスとは全く関係のない動画や画像のクリエイティブでした。犯人の目的は、おそらく自らが運営する悪質なサイトへユーザーを誘導し、広告費を不正に搾取する、いわゆるアフィリエイト詐欺のようなものだったと推測されます。

さらに手口が巧妙で悪質だったのは、「キャンペーンが停止された場合、30分後に自動で再開する」というルールまで、私たちの知らないうちに設定されていたことです。これはMeta広告の正規の機能(自動化ルール)を悪用したもので、一度キャンペーンを停止しても、すぐに自動で再開されてしまうため、管理画面を閉じている間に被害が再拡大する、まさに悪夢のような状況でした。

パニックの中で行った緊急対応の全記録

被害発覚直後、私たちはパニックに陥りながらも、冷静に状況を整理し、以下の緊急対応を時系列で行いました。

2025年3月6日(木)10:05
広告管理画面で異常な利用金額を確認。不正利用が発覚し、通常配信していたものも含め、全てのキャンペーンを緊急停止。

2025年3月6日(木)11:00
犯人によって仕込まれていた「停止時自動再開ルール」が作動。停止したはずの不正広告キャンペーンが自動的に再開されてしまう。「いたちごっこ」になることを悟る。

2025年3月6日(木)11:05
再度、全てのキャンペーンを停止。しかし、管理画面上での操作だけでは根本的な解決にならないと判断し、広告費の決済に使用していたクレジットカード会社に連絡し、カードを緊急一時停止。デジタルな攻撃に対し、物理的な手段で金の流れを断つという最終手段に踏み切る。

この「クレジットカードの停止」という判断が、結果的に被害の拡大を完全に食い止める上で最も重要な一手となりました。

関係各所への連絡と調査依頼

決済を止めて一息ついた後、すぐに関係各所への連絡と調査依頼を開始しました。有事の際は、この情報連携の速さがその後の展開を大きく左右します。

1. Meta広告サポートチームへの連絡

まず、Meta社のサポートチームに連絡し、不正利用被害の詳細を報告しました。サポートからは主に以下の3つの点を伝えられました。

  • クレジットカード会社への被害報告:Metaとして正式な調査を開始するには、まずカード会社への被害報告が必須であること
  • 返金について:ハッキングの事実がMeta側の調査で正式に認められない限り、返金はされないこと。また、調査には数ヶ月単位の時間がかかる場合があること
  • アカウントの利用停止:調査が完了するまで、現在使用している広告アカウントは利用できなくなること

2. クレジットカード会社への連絡

Meta社からの指示を受け、改めてクレジットカード会社に連絡。一時停止していたカードは、カード情報自体が抜き取られている二次被害のリスクを考慮し、完全に凍結・無効化してもらい、新しいカードを再発行する手続きを取りました。

3. 社内関係者への報告と連携

同時に、経営層や経理部門へ状況を報告しました。この際、誰かを責めるのではなく、事実と行った対策、今後の見通しを冷静に伝えることが重要です。また、セキュリティ担当者と連携し、不正アクセスされたアカウントと同一のパスワードを使用している他の業務用ツールがないかを確認し、該当するものがあれば即座にパスワードを変更するよう指示しました。

【最重要】二度と被害に遭わないための徹底した再発防止策

幸いにも、私たちのケースでは迅速な対応が功を奏し、約2週間で広告配信を再開することができました。不正利用された金額も約二ヶ月後にクレジットカード会社からのチャージバックが完了し、無事返金されました。

この苦い経験から、私たちは二度と同じ過ちを繰り返さないために、以下の徹底した再発防止策を講じました。これは、今Meta広告を運用している全ての企業に強く推奨したい内容です。

対策1:不正利用された環境の完全リセット

中途半端な対策は新たなリスクを生むだけです。私たちは、不正利用の温床となった環境を完全に破棄する、いわば「外科手術」のような決断をしました。

  • 不正利用されたMetaのビジネスポートフォリオ(※)を削除
  • 広告アカウントを削除
  • 関連する全ての個人のMetaアカウントとの紐付けを解除

※ビジネスポートフォリオとは、複数の広告アカウントやFacebookページ、ユーザーなどを一元管理するためのツールのこと。解説記事:Metaビジネスポートフォリオとは?作成手順と運用のコツを徹底解説

これにより、これまで蓄積してきた広告の最適化データなどは失われますが、見えないバックドア(不正侵入するための入口)が仕掛けられている可能性を根絶するため、セキュリティの確保を最優先しました。

対策2:セキュリティ設定の徹底強化

新しいクリーンな環境を構築し直した後、セキュリティレベルを最大限に引き上げました。

  • 全アカウントの二段階認証を必須化:広告アカウントにアクセスできる全てのユーザーに、二段階認証の設定を義務付けました。SMS認証よりもセキュリティ強度が高い、認証アプリ(Google Authenticatorなど)の使用を推奨します
  • クレジットカードに1日の利用上限を設定:新しく登録したクレジットカード自体に、1日あたりの利用上限額を設定しました。これは、万が一再度アカウントが乗っ取られても、被害額を物理的に抑えることができる「金融的な防火壁」となります

対策3:アカウント管理体制の抜本的な見直し

今回の直接的な原因となった、退職者アカウントの管理体制を根本から見直しました。

  • 退職者アカウントの即時削除:従業員の退職時には、人事のオフボーディングプロセスの一環として、速やかに関連する全てのアカウント権限を削除するルールを徹底しました
  • 毎月のアカウント棚卸しの実施:「誰が、どの資産に、どの権限を持っているか」を明確にするため、毎月1回、全アカウントの棚卸しを行い、不要なアカウントや過剰な権限がないかを確認・整理することを全社的なルールとして定めました

対策4:パスワード管理の再徹底

社内全体のセキュリティ意識向上のため、パスワード管理についても改めて注意喚起を行いました。

  • 安易なパスワード(誕生日や単純な文字列など)の使用を禁止
  • 他のサービスとのパスワードの使い回しを禁止。これを徹底するため、会社としてパスワード管理ツールの導入も検討すべきです

あなたの会社は大丈夫?今すぐセキュリティ体制の見直しを

meta-hacked-3

今回、私たちが経験した300万円の不正利用被害。幸いにも、朝一番のパフォーマンスチェックで異常に気づけたからこそ、被害をこの金額で食い止めることができました。もし発見が半日、1日遅れていたら、被害額は数千万円に膨れ上がっていたかもしれません。

不正を働く攻撃者は、常に私たちの想像を超える新たな手口で侵入を試みてきます。残念ながら「これをやっておけば100%安全」という完璧な対策は存在しないのが現実です。

だからこそ最も重要なのは、「万が一の事態が起きても、すぐに異常を検知できる体制を築くこと」、そして「実際にトラブルが起きた際に、冷静に、そして迅速に対応できる知識と心構えを持っておくこと」です。

この記事を読んでくださったあなたが、私たちの失敗を教訓として、自社の広告アカウントのセキュリティ体制を今一度見直すきっかけとしていただければ、これに勝る喜びはありません。ぜひ、この記事をチームで共有し、「うちならどうするか?」を話し合ってみてください。

株式会社クロスリスティングでは、Meta広告を含めた広告運用コンサルティングを提供しております。BtoC、BtoB問わず、様々な業種業態での広告運用で得た知見に基づき、最適な広告プランニングをご提案します。
サービス紹介資料のダウンロードはこちら

meta_ad_manager_complete_guide_cover

解説資料のダウンロードはこちら

fbig_winning_patterns

解説資料のダウンロードはこちら

資料ダウンロード
お問い合わせ

著者(writer)
Sienca 事務局

リスティングをはじめとした運用型広告など、インターネット広告全般の運用サポートを実施しております。BtoCからBtoBまで様々なクライアント様の広告運用により得た知見を基にブログをお届けします。

関連記事一覧