SNSで情報を守る ― プライバシー管理と過剰共有リスク|社会人1年目のサイバーセキュリティ基本 第4回

2026年4月22日 最終更新日時 : 2026年4月22日 サイバーレジリエンスサイバーレジリエンス
SNSで情報を守る ― プライバシー管理と過剰共有リスク|社会人1年目のサイバーセキュリティ基本 第4回
サイバーレジリエンス株式会社 メールマガジン / 2026年4月号 第4回

SNSで情報を守る
― プライバシー管理と過剰共有リスク

「今日から社会人!」その投稿が、攻撃者への情報提供になっているかもしれません。
SNSの何気ない投稿が、標的型攻撃・なりすまし詐欺・社内情報漏洩の入口になる仕組みと、今すぐできるプライバシー設定を解説します。

2026年4月号 全4回シリーズ
🛡️ 社会人1年目のサイバーセキュリティ基本

「親しい友達限定で投稿したから大丈夫」・・・そう思っていませんか?
2026年4月、新入社員によるSNS投稿が原因で社内情報が相次いで流出しました。入館証・シフト表・機密保持誓約書・・・どれも「ちょっと自慢したかった」だけの投稿が発端です。

SNSは今や、サイバー攻撃者が標的を調査する最大の情報収集源になっています。投稿した本人が「大した情報ではない」と思っていても、複数の情報を組み合わせれば精巧な攻撃シナリオが完成します。今号では、リスクの仕組みと今すぐできる対策を具体的に解説します。

90%
2025年 人的要因によるセキュリティインシデントの増加率
KnowBe4 Human Risk Report 2025
82%
の従業員が経験
業務情報をSNSで過剰共有したことがある
Mimecast State of Human Risk 2025
56%
がFacebook発
SNS経由サイバー脅威の過半数はFacebookから
Gen Threat Report 2025
360
ビュー
三菱電機子会社 新卒社員の誓約書投稿が数時間で拡散
2026年4月 国内事案
第1章

SNS投稿が「攻撃の設計図」になる仕組み

IPA「情報セキュリティ10大脅威 2026」では、第5位に「機密情報を狙った標的型攻撃」第7位に「内部不正による情報漏えい等」がランクインしています。SNS上の公開情報はこの2つの脅威を直接後押しします。攻撃者はSNSを使って標的を調査します。これをOSINT(公開情報インテリジェンス)と呼びます。あなたのLinkedIn・Instagram・X・Facebookを組み合わせるだけで、攻撃者は次の情報を無料で入手できます。

⚠️ 攻撃者がSNSから収集する情報の例
  • LinkedIn:会社名・役職・上司の名前・使用ツール・プロジェクト名
  • Instagram:入社式の写真 → 入館証の番号・セキュリティゲートの構造
  • X(旧Twitter):「今日から〇〇部!」→ 配属先・チームメンバー
  • Facebook:出身地・家族関係・趣味 → 秘密の質問の答え

これらを組み合わせると、あなた専用のフィッシングメールを1分で生成できます。

🏢 2026年4月 国内で発生した実際の事案

2026年4月・国内 日本テレビ系制作協力会社 新入社員 拡散規模:多数
Instagramに投稿した「入社初日の記念写真」に、日本テレビの入館証・制作現場のシフト表・社内コンプライアンスメモが写り込んでいた。シフト表からはスタッフ配置と勤務時間が判読可能な状態で4月4日にXで拡散。
2026年4月・国内 三菱電機住環境システムズ 新卒社員 360万ビュー超(数時間で拡散)
X(旧Twitter)に入社時に提出した書類の画像を投稿。機密保持誓約書・社員番号・所属部署・本人氏名がすべて写り込んでいた。投稿は数時間で360万ビューを超え、削除後もスクリーンショットが拡散し続けた。
💡「限定公開」では防げない理由
「親しい友達のみ」「フォロワーのみ」に設定しても、スクリーンショットを撮られた瞬間に公開情報になります。一度インターネット上に出た情報は完全には消せません。「投稿しなければよかった」という後悔は後から来ます。
第2章

プラットフォーム別リスクと設定の見直し方

SNSごとにリスクの性質が異なります。自分が使っているサービスのリスクを把握した上で、適切な公開範囲を設定しましょう。

SNS 主なリスク リスクレベル 推奨設定
LinkedIn 職歴・役職・スキル・人脈が標的型攻撃に直結。偽採用担当者によるマルウェア配布も確認 ★★★ 高 繋がり(1st)のみ公開。メールアドレス非公開。不審な採用オファーは無視
Instagram 写真への写り込み(社員証・資料・PC画面)。位置情報タグによる行動パターン把握 ★★★ 高 非公開アカウントに設定。位置情報タグをオフ。写真の背景を必ず確認
X(旧Twitter) リアルタイム投稿で行動が筒抜け。「配属先」「上司の名前」等の不用意な発信 ★★★ 高 鍵アカウント推奨。会社名・部署・業務内容は投稿しない
Facebook SNS経由脅威の56%がFacebook発。個人情報と業務情報が混在しやすい ★★ 中〜高 公開範囲を「友達」に限定。生年月日・電話番号を非公開に
LINE CEO詐欺(経営層なりすまし送金指示)・アカウント乗っ取り・グループ詐欺が急増 ★★ 中〜高 他端末ログインをオフ。「知り合いかも」機能をオフ。IDの検索許可をオフ
BeReal・TikTok リアルタイム性・位置情報・生活リズムが丸見えになりやすい ★★ 中 非公開設定。職場での使用を避ける
🚨 IPA 2026 第10位「ビジネスメール詐欺」― LINEを使ったCEO詐欺が急増
IPA「情報セキュリティ10大脅威 2026」の第10位「ビジネスメール詐欺(BEC)」は9年連続でランクインしています。2025年末から、経営層を名乗った人物からLINEグループへの参加を求め、高額送金を指示する「CEO詐欺」が全国で多発しています。正規の上司や経営層が、LINEで急ぎの送金・振込変更を指示することは絶対にありません。必ず電話で本人確認を取ってください。
第3章

「投稿していいこと・いけないこと」判断基準

「何を投稿してはいけないか」を覚えるより、「投稿前に1つ問いかける」習慣を身につける方が実践的です。

🤖 IPA 2026 第3位(初選出)「AIの利用をめぐるサイバーリスク」とSNSの関係
2026年版で新たに第3位として初選出されたこの脅威は、SNSとも深く関係します。攻撃者はあなたのSNS投稿・プロフィール写真・音声・動画をAIに学習させ、本人そっくりのディープフェイクDMや音声クローンを生成して同僚・取引先を騙します。SNSへの顔写真・音声・動画の投稿は「AI学習の素材」を提供することでもあります。
✅ 投稿前の1問チェック
「この投稿を見た攻撃者は、何か悪用できるか?」
YESなら投稿しない。迷ったら投稿しない。これだけです。

❌ 投稿NGの代表例

  • 入館証・社員証が写り込んだ写真(IDナンバー・バーコードが読み取られる)
  • シフト表・スケジュール(誰がどこにいるかが攻撃者に伝わる)
  • 上司・取引先の名前と関係性(なりすましメールの材料になる)
  • 「今日から〇〇プロジェクト」(プロジェクト名・使用ツールが漏洩する)
  • 社内システム・ツールのスクリーンショット(セキュリティ構成が見える)
  • 「今日は〇〇駅から出社」(行動パターン・職場住所の特定に使われる)
  • 「〇〇社に転職しました!」(入社直後は特に、攻撃者が集中するタイミング)

✅ 投稿してもよい情報の目安

  • 会社名・業種が含まれない、仕事と無関係の趣味・日常の話題
  • 会社の公式プレスリリースや広報が公開している情報
  • 勤務場所・同僚・顧客が特定できない写真
⚡ 「友達限定」でも拡散する構造を理解する
SNSの公開範囲設定は「誰が最初に見るか」を制限するだけです。一度見た人がスクリーンショットを撮れば、その情報は無限に拡散できます。また、SNS事業者のシステムへのハッキングや従業員による不正アクセスでも情報は漏洩します。「限定公開=安全」という認識は危険です。
第4章

今すぐできる4つのプライバシー設定

1

全SNSのプロフィールを「会社名なし」に見直す

LinkedIn以外のSNS(Instagram・X・Facebook等)に会社名・部署・役職を記載する必要はありません。記載している場合は今すぐ削除してください。LinkedInは業務用途で必要な場合のみ、接続を「1st繋がりのみ」に制限した上で公開範囲を最小化します。

2

位置情報タグ・ジオタグをオフにする

Instagram・X・Facebookの投稿に位置情報を付けていると、行動パターン・自宅周辺・勤務先が特定されます。スマートフォンの設定から「SNSアプリへの位置情報アクセスを拒否」に変更してください(iOS:設定→プライバシー→位置情報サービス、Android:設定→アプリ→権限)。

3

LINEの「知り合いかも」とID検索をオフにする

LINEの「友だち自動追加」と「知り合いかも」機能は、電話帳に登録されているだけで見知らぬ人からアクセスされる可能性があります。LINEアプリ → 設定 → プライバシー管理から「友だちへの追加を許可」「ID検索を許可」を両方オフにしてください。

4

旧投稿を一括点検する

入社前後(3〜5月)の投稿を見返し、社員証・職場の写真・「〇〇社に入社!」等の投稿がないか確認してください。FacebookやInstagramは「過去の投稿を非公開に一括変更」する機能があります。Xは公式では一括削除ができないため、TweetDelete等のサービスの活用も検討してください。

実践チェックリスト ― SNS・プライバシー編

📱 プロフィール・公開設定

  • LinkedIn以外のSNSに会社名・部署・役職を記載していない
  • InstagramまたはXのアカウントを非公開(鍵アカウント)にしている
  • Facebookの公開範囲を「友達のみ」に設定している
  • 生年月日・電話番号・メールアドレスを非公開にしている
  • LINEの「友だち自動追加」「ID検索許可」をオフにしている

📷 投稿内容・写真の確認

  • 投稿前に写真の背景(社員証・資料・PC画面)を確認している
  • 位置情報タグ・ジオタグをSNSアプリからオフにしている
  • 上司・取引先の名前や関係性を投稿していない
  • 社内プロジェクト名・使用ツールを投稿していない
  • 入社・配属・転職の報告投稿に業務詳細を含めていない

🛡️ なりすまし・詐欺への備え

  • LINEで上司・経営層から送金指示が来ても、必ず電話で本人確認する
  • SNS上の「採用担当者からのDM」に個人情報を送らない
  • 見知らぬアカウントからのフォロー・友達申請を安易に承認しない

まとめ

📚 今号のポイント
  • IPA 2026 第5位「機密情報を狙った標的型攻撃」・第7位「内部不正による情報漏えい等」の入口がSNSのOSINT情報
  • IPA 2026 第10位「ビジネスメール詐欺」(9年連続)― LINEを悪用したCEO詐欺が全国で多発
  • IPA 2026 第3位「AIの利用をめぐるサイバーリスク」(2026年初選出)― SNS投稿がAIディープフェイク攻撃の素材になる
  • 2025年に人的要因インシデントは90%増加(KnowBe4)。業務情報のSNS過剰共有経験は82%(Mimecast 2025)
  • 2026年4月だけで、新入社員のSNS投稿から入館証・機密書類が漏洩する事案が国内で複数発生
  • 今日やること:プロフィールの会社名削除・位置情報オフ・LINEのID検索オフ

4回にわたってお読みいただき、ありがとうございました。「知っている」と「実践している」の間には大きな差があります。今号のチェックリストを、ぜひ今日中に確認してみてください。

📚 シリーズ全4回の振り返り

  • 第1回:なぜ新入社員が狙われるのか → 記事を読む
  • 第2回:フィッシング・生成AI詐欺の見分け方 → 記事を読む
  • 第3回:パスワードとMFA認証強化の実践ガイド → 記事を読む
  • 第4回:SNSプライバシー管理と過剰共有リスク(本号)

■ 参考情報

※2026年4月22日時点の情報です。最新情報は各公式サイトでご確認ください。
    本号はAIが執筆したものを監修しています。

弊社の社名となっている「レジリエンス」は、「回復力」や「弾性」を意味する英単語です。
環境の変化や突発的な事象に対して、しなやかに粘り強く対応していく立ち位置を意味しています。
目まぐるしく変化する時流の中で、それを見極めつつ流されない解決策を提案いたします。

****************************
サイバーレジリエンス株式会社
〒103-0026 東京都中央区日本橋兜町17番1号 日本橋ロイヤルプラザ706
TEL:03-6823-8902 Email:[email protected]
Web:https://japan-resilience.co.jp/cyber
****************************

投稿者プロフィール

サイバーレジリエンス
サイバーレジリエンス
カテゴリー
情報
前の記事
パスワードとMFAで守る ― 認証強化の実践ガイド|社会人1年目のサイバーセキュリティ基本 第3回
2026年4月15日
次の記事
Udemy情報漏洩 2026年4月 ― 140万件流出、今すぐやること5ステップNew!!
2026年4月28日