なりすましに乗っ取り、不適切投稿。個人だけじゃない、SNSが起こす恐怖の事件例を紹介する。SNS上での「友達の友達」は約8500人?
「あの会社の情報システム担当者は誰?」「設計部門のキーマンのメールアドレスは?」。標的型攻撃の準備に使われるような情報が、SNSの書き込みによって攻撃者に筒抜けになってはいないか。
以前ならば周到な聞き込みや資料集めが必要だったはずの情報が、特定のSNSや数種類のSNSを横串で探ることで、短時間で労せずに入手できるようになった。特に個人や組織の詳細まで公開し、簡単に「友達」になるタイプの守りの甘い人は狙われやすい。
そして、その人から関係のある人へと影響が波及し、広い範囲の個人情報や企業情報が収集されてしまい、不正行為や犯罪行為に結び付くことがある。今回は、誹謗(ひぼう)、中傷、炎上騒ぎばかりではないSNSの深刻なセキュリティ問題を考える。
SNSの便利さは今さら言うまでもない。しかし、その危険性は十分に認識されているだろうか。SNS利用にまつわるトラブルは増加傾向にある。情報処理推進機構(IPA)への相談件数を図1に示す。特に、Facebookでの偽アカウントに関する相談が多い。
近年問題になったSNSの悪用事例として、次のようなものがある。
2012年、NATOの欧州連合軍司令官でもある米国陸軍大将ジェームズ・スタブリディス氏を詐称したFacebookの偽アカウントが出現し、同氏の知人や友人の個人情報を収集した事件が報道された。偽アカウントの発信元は中国とされ、軍事機密情報を狙ったものと疑われる。
それ以前にも同様の手口で米国や台湾の企業家からの機密情報詐取が行われた。また、米国陸軍参謀副長官のジョン・F・キャンベル氏もFacebookとSkypeになりすましアカウントによる不正投稿が行われていることを本物のアカウントからの投稿で注意喚起した。
国内で明らかな情報窃取事例は今のところ見当たらないが、怪しいアカウントからの「友達申請」を受け取ったことがある人は多いだろう。見知らぬ美形の人物写真入りでSNSビギナーを装うものもあれば、実際の「友達」と何らかのつながりがありそうな人物、あるいは「友達」と同姓同名、1字違いといった紛らわしいアカウントで接触してくる場合もある。
ウッカリ了承して「友達」になってしまうと、投稿内容が閲覧されてプライベートな情報や所属組織などの情報が漏えいする可能性があり、さらに「退会を予定しているので連絡のためにメールアドレスを送ってほしい」というように、非公開の個人情報を要求されることもある。
これは詐欺や所属組織に向けた標的型攻撃のための準備活動なのかもしれないし、入手した個人情報を売買する目的なのかもしれない。
また、あるテーマパークの企業アカウントを詐称したなりすましのケースでは、さまざまな特典をちらつかせてアフィリエイトサイトへのアクセスを誘う投稿が繰り返された。「公式」を名乗っていたが、いかにも怪しいアカウントの中には15万人のフォロワーを獲得したものもあった。
正当なユーザーのIDとパスワードを窃取して悪用する攻撃もある。インターネットの海外ブラックマーケットではSNSアカウントが1件数円程度で大量に売買される。一部のSNSでは特殊な手口を使って自動的に大量のアカウントを作成できるので、売買されるのは実態のないものも多いが、ユーザーに気付かれないように仕込まれたPCのボットが収集し、ボットネットに流した実在のアカウントや、巧妙なソーシャルエンジニアリングによって入手した実在アカウントもまた多いようだ。
偽アカウントを使って、本当のターゲットのSNSログインパスワードをリセットし、完全に乗っ取る手口も使われる。Facebookで使われた手口では、攻撃者は3つの偽アカウントを使い、それぞれ攻撃対象ユーザーと「友達」になって、対象ユーザーを「信頼できる連絡先」として設定する。対象ユーザーがお返しに攻撃者の偽アカウントを「信頼できる連絡先」として設定すると、攻撃者が対象ユーザーのパスワードをリセットできる。
Facebookは3人の「信頼できる連絡先」ユーザーが申請すると、パスワードリセットができる仕組みだ。これが行われると、対象ユーザーは突然パスワードが拒否されてアクセスできなくなり、攻撃者がそのアカウントを自由に使えるようになる。
国内では政治家や芸能人など著名な人物の名をかたった偽アカウントが主にTwitterで登録され、特定の個人や組織への中傷に近い批判を投稿したり、政治的主張を書き込んで「炎上」を誘ったりする不正行為が多い。
例えば、あるプロレスラーの写真入りプロフィールを利用したなりすましアカウントから特定テレビ局を批判する内容の投稿を行い、その投稿に対するリプライを無関係のタレントの名をかたるなりすましアカウントで行って、多くのフォロワーの反応をあおるという手口が使われた。いやがらせやいたずらである場合が多いようだが、対象が企業だと意図的にブランドを毀損(きそん)する目的で炎上工作を行うこともあり得る。
2013年は、主に飲食店での従業員が食品を使った悪ふざけの写真をSNSに投稿し、「不衛生」「従業員教育がなっていない」と非難される事件が多発した。設備の消毒や清掃、休業の必要に迫られ、個人経営の会社では閉店に追い込まれたケースもあった。
攻撃用サイトのURLを記してアクセスを誘ってウイルスに感染させる手口や、フィッシングサイトへの誘導も行われる。従来のメールを使った攻撃とまったく同じ形だが、SNSでは比較的相手からの信頼を得やすい状況が作りやすいところが問題だ。
これらの他、個人対象の不正行為として公開情報を利用したストーキング、投稿の位置情報や写真のジオタグを利用して「場所」と時間を把握することによる行動監視や空き巣狙い、ドメスティックバイオレンスに絡んだ所在の発見など、生活に大きな悪影響を生じた事件が数々ある。
中には殺人事件にまでつながったケースもあり、企業としても情報漏えい防止対策やブランド維持目的の他、従業員の安全をも考えた対策が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。