人と人との "つながり" を求めて生み出される、フレンドリーな雰囲気の "ソーシャルメディア" に関して、人と人との "騙し合い" を警戒することはイヤなものである。しかしそれもまた現実! その場の空気に流されない警戒の姿勢が欠かせない......。
Fecebook や LinkedIn といった "実名制" SNSの利用者が増える一方で、この "実名制" を逆手に取って攻撃者が情報を窃取するというケースが広がりつつあるというのだ。
"友達リクエスト" という、"実名制" SNSにとっては "玄関口" とも言えるゲートが悪用されることになる。いわゆる "なりすまし" ということになるかと思われるが、"知人になりすまし" て "お友達" になりたいと申し出てくるわけだ。昨今、リアル世間では、攻撃者が宅配便業者に "なりすまし" て犯罪行為に及ぶ事件が頻発しているようだが、そんなイメージと似ている。息子や孫に "なりすまし" て、"振り込め詐欺" を働く犯罪も浮かんでくる......。
要は、"なりすまし" た攻撃者をそれとして見抜くことが防御策となるわけだが、ここにひとつの "ジレンマ" が存在する。
Fecebook や LinkedIn といった "実名制" SNSの利用者は、ひっそりと暮らしたいお年寄りとは違って、仕事面などでの人脈を可能な限り広げたいと願う積極派であろう。
場合によっては、"最初はみな赤の他人から始まる......" とさえ考えている "超・積極派" もいないとは限らない。積極的な "リスク・テイキング派" だとも言える。
先日、このブログで Facebookで「知らない人でも友人承認」が2割(WIRED)という"甘さ"は他山の石に! を書いた際、<「知らない人でも友人承認」が2割>の人たちを単に "杜撰な利用者たち" と決めつけがちであったかもしれない。
しかし、よくよく考えれば、"人脈拡大" のためには萎縮こそ禁物、多少のリスク・テイクは当然......、と判断する利用者がいたとしても、あながち不思議ではないのかもしれないと思えてきた。
まして "若い世代" の "個人情報" に対する考え方は変わってきたとも言われている。
<ソーシャルメディア上では、「顔写真の公開」を38%の人が問題ないとし、特に若い世代になるほど、積極的に個人情報を公開する傾向がみられる。
見知らぬ仲間と出会うために、効果的な個人情報の公開が必要になり、プライバシー意識に変化をもたらしていると考えられます。>( "ソーシャルメディア"での"友達意識"が照らし出すもの!/電通「SNS100 友調査」( 当誌 2011.11.04 ) )
とは言うものの、"悪意に満ちた闇" への想像力も欠かせない。特に、ビジネス組織に属する利用者の場合、攻撃者たちの "たくらみの深度" について高を括るのはリスキー過ぎるのかもしれない......。
そんなことで、今回は下記のサイト記事を引用した。注目せざるを得ないのは、失礼ながら、末尾の<正直なところ筆者には落としどころが見えない>という点である。それはこの種の問題が決して見くびれないことを暗に示唆しているかに思われた。
―――― <ソーシャル活用とセキュリティの落としどころ
「標的型攻撃をするための下調べは、実名制ソーシャルネットワークサービス(SNS)をちょっと検索すればできてしまう」。この指摘を受けたとき、自分のSNSの使い方は大丈夫か不安を感じた。 ...... このコラムでは、特集では扱いきれなかったSNSの活用とセキュリティについて考えたい。
国内でもFecebookやLinkedInといった実名制SNSの利用者が増えてきている。本名や勤務先を登録、公開しているユーザーは多いだろう。人によっては勤務先の部署名や役職、メールアドレスも公開しているかもしれない。SNS上のメッセージで仕事内容にかかわる書き込みをしていることも少なくない。
ところが、これが攻撃者側にソーシャルエンジニアリングを容易に行わせる原因になっている。日立システムズの本川祐治ICT基盤事業グループネットワークサービス事業部主管技師長は「米国では標的にすべき相手やメールアドレスを調べることを目的とした"散弾的"な標的型攻撃は少なくなっている」という。実名制SNSで相手の素性を調べられるからだ。
本来の標的型攻撃では、攻撃者は重要情報へのアクセス権を持った個人を狙う。その個人のパソコンにバックドアを設置するマルウエアを侵入させ、攻撃者は情報を窃取していく。マルウエアに感染させる手段としては、知人を装ったフィッシングメールなどがある。 ......
友達リクエストのはずが......
攻撃者はターゲットにマルウエアを送り込む手法としても、実名制SNSを利用している。「友達になってほしいというリクエストを装ったフィッシングメールが確認されている。このメールでは承認ボタンを押しても、そうでないボタンを押してもマルウエアに感染させる不正サイトに誘導される」(EMCジャパンRSA事業本部の水村明博マーケティング部シニアマーケティング・プログラムマネージャー)。
SNSのメッセージ機能を使って、不正サイトに誘導する手法も攻撃者にとっては"有効"だ。この場合、攻撃者はSNSのアカウントを作成して、ターゲットに対して普通に友達リクエストを送る。いったん「友達」となれば、相手のページにメッセージを投稿できる状態になる。SNS上とはいえ友達関係にあると、リンクをクリックする心理的な障壁は下がる。さらに短縮URLを使うと、サイトURLの怪しさも隠せてしまう。
これらは技術的にも理にかなった攻撃手法だ。多くのSNSはWebブラウザーのJavaScriptをオンにしていないと十分な機能を使えない。「SNS利用時のユーザーはブラウザーのJavaScriptをオンにしている。これは不正サイトに誘導されると、マルウエアに感染してしまう危険性が高い状態といえる」(カスペルスキーの前田典彦情報セキュリティラボ チーフセキュリティエヴァンゲリスト)。
まとめると(1)SNSに自身の仕事や職務上の立場について記述する、(2)実際の知り合いであると確証の取れないアカウントと友達関係になる、の2種類のリスクがあることになる。
ソーシャルは活用したいけれど
ところが、SNSを仕事に活用しようと思うと、この二つはなかなか避けて通れない。もちろん、SNSに機密情報を書き込んでしまうのは論外だ。「炎上騒動」に発展した例もあり、この点は多くの人が認識するようになっているだろう。しかし、普通に使っているつもりでも、標的型攻撃に悪用されるリスクが潜んでいるというのはあまり知られていない。
SNSを利用する動機は「より幅広い人との交流を深めていきたい」、「新しい仕事のきっかけにしたい」というユーザーも多いだろう。積極的につながりを増やしていくことと、標的型攻撃を回避しようとすることでは相反する使い方が求められる。ユーザーの自己責任でバランスを取ればいい、という簡単なものでもないだろう。
何かしらの利用ガイドラインを参考にしようにも、「SNSはクローズドな面が強く、内部で何が起こっているのか調べづらい」(JPCERTコーディネーションセンターの真鍋敬士理事分析センター長)という状況。まだ、十分にリスクを洗い出せてはいないのだ。
では、企業は社員のSNS活用にどう対応していけばいいのか。タイトルと反するようで申し訳ないが、正直なところ筆者には落としどころが見えない。社員のSNS活用に対しては制約を課さず、企業を狙う標的型攻撃に対してきちんとセキュリティ対策を実施するのが王道かもしれない。しかし、簡単にセキュリティ投資は増やせないという企業が多いのが現実だろう。...... >
( ソーシャル活用とセキュリティの落としどころ/IT Pro - エンタープライズ ソーシャル/2011.11.21 )
SNS を積極的に仕事に活用しようとすれば、(1)自身の仕事や職務上の立場の記述、(2)確証の取れないアカウントと友達関係を始めるという二つは避け難い実情かもしれない。ここにセキュリティ問題との間での "ジレンマ" が生まれている...... (2011.11.22)
コメントする