最近、X(旧Twitter)で「ストーカーリスト」というDMが流行っているようです。これは、フォロワーや知人から届くDMで「あなたのプロフィールを見ている人がわかります」といった甘い誘いとともに、正規っぽく見せかけたリンクが送られてくるというもの。
「自分が誰にみられているのかがわかる」という興味を引くものですが、実は完全な詐欺。うっかりアカウント情報を入力してしまうと、自分のアカウントが乗っ取られ、今度は自分のアカウントから友人やフォロワーに同じ詐欺DMが送られることになります。
過去にもほぼ同じ手法だった「Xブロックチェック」詐欺が話題になりましたが、今度はより巧妙な手口で被害が拡大中です。そこで、急増するストーカーリスト詐欺の仕組みと危険性、そして身を守るための具体的な対策を詳しく解説します。
「ストーカーリスト」とは?その巧妙な手口を解説
2025年5月頃から急激に被害が拡大している「ストーカーリスト」詐欺。一体どのような手口で騙そうとしているのでしょうか。まずは、この詐欺の基本的な仕組みと特徴を詳しく見ていきましょう。
基本的な仕組み
「ストーカーリスト」は、2025年5月頃から急激に増加したフィッシング詐欺の一種です。手口は非常にシンプルですが、その分多くの人が引っかかってしまいます。
まず、友人や知人からのDMや投稿で「あなたのプロフィールを閲覧するひとは誰ですか?」といった魅力的な誘い文句とともに、リンクが送られてきます。このリンクは一見すると公式のものに見えるよう巧妙に作られているんです。
具体的には、「x.com/○○○」といった正規ドメインを模倣したものや、「l.instagram.com/?○○○」といったInstagramの短縮URLのような形式が使われています。見た目だけでは判断が困難なレベルで偽装されているのが特徴ですね。
リンク先での詐欺手法
リンクをクリックすると、本物のXのログイン画面そっくりに作られたフィッシングサイトに飛ばされます。ここで「ストーカーリストを見るにはログインが必要です」などと表示され、ユーザー名とパスワードの入力を求められます。
ログイン後、「より詳細な情報を見るためにアプリとの連携が必要です」として、ストーカーリストとの連携を求められます。ここで連携を許可すると、投稿やDMの閲覧・送信権限、フォロー・フォロワーの操作権限など、アカウントに関するほぼすべての権限が連携されてしまいます。
つまり、許可した時点で、相手が自分のアカウントを完全に操作できる状態になり、個人情報が流出します。さらに、自分のアカウントから友人やフォロワーに同じ詐欺DMが自動的に送信する拡散役にされてしまうのです。
なぜ多くの人が騙されるのか
この詐欺が特に悪質なのは、人間の心理的な弱みを巧妙に突いている点です。「誰が自分のプロフィールを見ているのか知りたい」という好奇心は、SNSを使う多くの人が抱いている自然な感情ですよね。
また、フォロワーや知り合いのアカウントから送られてくるため、「この人が送ってくるなら大丈夫だろう」という信頼感も手伝って、警戒心が薄れがちです。しかし実際には、その知り合いも被害者である可能性が高いのです。
被害の実態と危険性
ストーカーリスト詐欺に引っかかってしまうと、具体的にどのような被害が発生するのでしょうか。単なるアカウント乗っ取りだけでは済まない、深刻な影響について詳しく見ていきます。
個人情報流出のリスク
まず、個人情報が流出します。具体的には、DMの内容や過去のやり取り、フォロー・フォロワー情報など、SNS上の個人情報が第三者に渡る恐れがかなり高いです。これらの情報により、さらなる詐欺や不正利用に悪用される可能性があります。
アカウント乗っ取りの深刻な影響
また、アカウントが完全に乗っ取られるので、次のような被害が発生します。
- パスワードの無断変更
- 海外や不審な端末からの不正アクセス
- プロフィール情報の改ざん
さらに厄介なのは、乗っ取られたアカウントが詐欺の拡散に利用されることです。あなたのアカウントから友人に詐欺DMが送られることで、人間関係にも悪影響を与えかねません。
- フォロワーや友人への詐欺DM自動送信
- スパム投稿の大量配信
- 詐欺広告の拡散
過去の類似詐欺との共通点
実は、このストーカーリスト詐欺のような手口は今回が初めてではありません。過去にも同様の詐欺が繰り返し現れており、その歴史を知ることで今後の被害防止にも役立ちます。
Twitter詐欺の変遷と手口の進化
2010年代前半:診断系アプリ詐欺の時代
Twitter詐欺の原点は、「面白診断」や「性格診断」を装った不正アプリ連携でした。「あなたの恋愛傾向は?」「将来の職業診断」といった興味を引くコンテンツで誘い込み、アプリ連携を許可させる手口が主流だったんです。
一度連携を許可してしまうと、勝手にツイートやDM送信、フォローなどができるようになり、被害者のアカウントを使ってスパム拡散が行われました。この時代はまだ手口が単純で、多くの人が「診断くらいなら大丈夫」という軽い気持ちで連携してしまっていました。
2010年代後半:フィッシング詐欺の巧妙化
2010年代後半になると、手口はより巧妙になります。偽のTwitterログイン画面を使ったフィッシング詐欺が増加し、「アダルト・話題のニュース・お得情報」など、より直接的に関心や不安を煽る内容で詐欺サイトへ誘導するようになりました。
この時期の特徴は、連携認証画面がTwitter公式のデザインを使うため、ユーザーの警戒心が薄れやすかったこと。見た目だけでは判断が困難なレベルまで偽装技術が向上していたんですね。
2020年:大規模ハッキング事件の衝撃
2020年7月には、Twitter史上最大規模のハッキング事件が発生しました。オバマ元米大統領、ビル・ゲイツ、イーロン・マスクなど著名人や大企業の公式アカウントが一斉に乗っ取られ、暗号通貨詐欺の投稿が大量に拡散されたんです。
この事件はTwitter社の内部システムへの不正アクセスが原因でしたが、一般ユーザーにとっても「著名人のアカウントでも乗っ取られる」という現実を突きつけられた出来事でした。
2021年〜現在:多様化する詐欺手法
コロナ禍以降、SNS詐欺は爆発的に増加しています。従来のアプリ連携詐欺に加えて、短縮URLを使った巧妙な誘導、サブスクリプション認証バッジを悪用したなりすましアカウントなど、手口はますます多様化しました。
そして2025年現在、「あなたを監視している人がわかる」「プロフィールを見ている人を確認できる」といった心理的な不安や好奇心を利用した新手口が登場。これが今回のストーカーリスト詐欺というわけです。
Xブロックチェック詐欺との類似性
前述したXブロックチェック詐欺は、この歴史の延長線上にある典型例です。以前の記事でも詳しく解説しましたが、「自分をブロックしている人数がわかる」という技術的に不可能な機能を謳い、ユーザーの好奇心を刺激してアプリ連携に誘導する手口でした。
今回のストーカーリスト詐欺は、この手法をさらに発展させたもの。「プロフィールを見ている人がわかる」という、より多くの人が関心を持ちそうな内容にアップデートされています。根本的な手口は変わらず、人間の心理的弱みを突いてアカウント乗っ取りを狙うという構造はまったく同じなんです。
なぜ「プロフィール閲覧者確認」は技術的に不可能なのか
ストーカーリスト詐欺を理解する上で最も重要なのは、そもそも「誰が自分のプロフィールを見たか」を確認する機能が技術的に実現不可能だということです。その理由を詳しく見ていきましょう。
X社がAPIを提供していない現実
SNSの外部アプリやサービスは、基本的にプラットフォーム側(X社)が提供するAPI(Application Programming Interface)を通じてデータを取得します。しかし、X社は「プロフィール閲覧者の情報」に関するAPIを一切提供していません。
つまり、どれだけ技術力のある開発者でも、公式のルートでプロフィール閲覧者情報を取得することは物理的に不可能なのです。これは、プライバシー保護の観点から意図的に実装されていない機能だからです。
API(Application Programming Interface)とは、アプリケーション同士が情報をやり取りするための仕組みです。例えば、X公式以外のアプリが投稿を表示したり、ユーザー情報を取得したりできるのは、X社が提供するAPIを通じてデータにアクセスしているからです。つまり、APIで提供されていない情報は、外部アプリでは絶対に取得できません。
プライバシー保護が最優先
主要SNSプラットフォームでは、ユーザーのプライバシー保護が最優先事項として扱われています。「誰が誰のプロフィールを見たか」という情報は極めてセンシティブな個人情報であり、これが簡単に取得できてしまうと、ストーカー行為や嫌がらせの温床になりかねません。
そのため、X(旧Twitter)、Instagram、Facebook、TikTokなど、主要なSNSプラットフォームではこの機能を意図的に提供していないのです。
Grokでも確認できない現実
「XのAIアシスタントGrokに質問すれば、プロフィール閲覧者がわかる」という噂を聞いたことがある方もいるかもしれません。しかし、これは完全な誤解です。
Grokは高性能なAIですが、X社が公式に提供していないデータにアクセスすることはできません。Grokができるのは、公開されている投稿やプロフィール情報の分析であって、非公開の閲覧ログにアクセスする権限は持っていません。
もしGrok(や他のAI)が「あなたのプロフィールを○○さんが見ています」と答えたとしても、それは推測や適当な回答に過ぎません。実際のデータに基づいた情報ではないことを理解しておきましょう。
「100%詐欺」と断言できる理由
技術的に実現不可能である以上、「プロフィール閲覧者がわかる」と謳うサービスは例外なく詐欺です。これは推測や可能性の話ではなく、技術的事実に基づいた確実な判断なのです。
もし本当にそのような機能があるとすれば、それはプラットフォーム側のセキュリティホールを悪用した違法行為か、まったくのデタラメかのどちらかしか考えられません。どちらにしても、利用すべきではないサービスということになります。
被害に遭わないための対策~今すぐできる5つの方法
このようなSNS詐欺から身を守るために、今すぐ実践できる対策を紹介します。これらは特別な知識や技術がなくても実行できる基本的な対策ですが、非常に効果的です。
不審なアプリ連携は絶対にしない!
何よりも重要なのは、怪しいアプリには絶対に連携しないことです。特に次のようなアプリには要注意です。
- 「自分をブロックしている人がわかる」→ 技術的に不可能な機能
- 「フォロワーが急増する」→ あり得ない好条件
- 「無料で〇〇が当たる」→ うますぎる話
アプリ連携前に「この機能は本当に技術的に可能なのか?」「このアプリは本当に必要か?」と冷静に考える習慣をつけた方がいいでしょう。少しでも怪しいと思ったら連携しないのが鉄則です。
連携済みアプリを今すぐチェック!不要なものは解除
すでに連携しているアプリを定期的に確認し、不要なものは即解除することも重要です。解除する手順は次のとおり。ここではXアプリで説明していますが、ブラウザでXを使っている場合でも同じ手順です。
まず、アプリの左上にあるアカウントアイコンをタップしてメニューを開き、「設定とプライバシー」→「セキュリティとアカウントアクセス」をタップします。
表示された画面で「アプリとセッション」→「連携しているアプリ」をタップします。
アプリとセッション画面が表示され、現在連携しているアプリが表示されます。疑わしいアプリをタップし、「アプリの許可を取り消す」をタップします。これで連携が解除されます。
心当たりのないアプリがあれば、迷わず連携解除してください。「とりあえず残しておこう」は厳禁です!
強固なパスワードと二段階認証は必須
強固なパスワードを設定し、さらに二段階認証を有効にするのは基本中の基本です。パスワードについては、次の条件で作成するようにした方がいいでしょう。
- 12文字以上の長さ
- 大文字・小文字・数字・記号を混ぜる
- 複数のサービスで使い回さない
二段階認証を設定しておけば、万が一パスワードが漏洩しても、第三者がログインするのを防げます。スマホさえ手元にあれば、アカウントを守れるというわけです。設定に5分かかるだけで、セキュリティが格段に向上しますよ。
不審な投稿を発見したらすぐに対応する
もし自分のアカウントから身に覚えのない投稿が行われていたら、次の内容をすぐに対応してください。
- パスワードをすぐに変更する
- 連携アプリをすべて確認し、不審なものを解除する
- 二段階認証をまだ設定していなければ有効化する
- 不審な投稿をすべて削除する
- 可能であれば、フォロワーに被害報告と注意喚起する
素早い対応が被害の拡大を防ぐ鍵です。できるだけ早く対処することが大切です。
まとめ:冷静な判断が最大の防御
ストーカーリスト詐欺は、私たちの好奇心や承認欲求を巧妙に突いた悪質な詐欺です。しかし、基本的な知識と注意深い行動で、被害を防ぐことは十分可能です。
「無料で特別な情報が得られる」「隠れた機能が使える」といった甘い誘いには、まず疑いの目を向けることが大切。そして、少しでも違和感を感じたら、立ち止まって冷静に判断する習慣をつけましょう。
前述したXブロックチェック詐欺と同様、この手の詐欺は形を変えて繰り返し現れます。一度覚えた対策知識は、今後似たような詐欺に遭遇した際にも必ず役立ちます。
この記事が、一人でも多くの方の被害防止に役立てば幸いです。SNSを安全に楽しむために、ぜひ周りの方にもこの情報をシェアしてくださいね。
