SNSが引き起こす恐怖のセキュリティ事件簿

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

SNSが引き起こす恐怖のセキュリティ事件簿

2014/02/18


 「あの会社の情報システム担当者は誰?」「設計部門のキーマンのメールアドレスは?」……標的型攻撃の準備に使われるような情報が、SNSの書き込みによって攻撃者に筒抜けになってはいないだろうか。かつてなら周到な聞き込みや資料集めが必要になったはずの情報が、特定SNSから、あるいは数種類のSNSを横串で探ることで、短時間で労せずに入手できるようになってきた。特に個人や組織の詳細まで公開し、簡単に「友達」になるタイプの「守りの甘い」人は狙われやすい。そしてその人から関係のある人へと影響が波及し、広い範囲の個人情報や企業情報が収集されてしまい、不正行為・犯罪行為に結びつくことがある。今回は、誹謗・中傷や炎上騒ぎばかりではないSNSの深刻なセキュリティ問題を考えてみる。

SNS

指導者になりすまして情報窃取!知らぬ間にアカウントが乗っ取られることも…

 SNSの便利さは今さら言うまでもない。しかしその危険性は十分に認識されているだろうか。SNS利用にまつわるトラブルは増加傾向にある。IPA(独立法人情報処理推進機構)への相談件数を図1に示すが、特にFacebookでの偽アカウントに関する相談が多くなっているようだ。

図1 SNSに関する相談件数の推移(Facebookとそれ以外)
図1 SNSに関する相談件数の推移(Facebookとそれ以外)
資料提供:IPA

 近年問題になっているSNSの悪用事例としては次のようなものがある。

(1)なりすましアカウントを利用した情報詐取
 2012年にはNATOの欧州連合軍司令官でもある米国陸軍大将ジェームズ・スタブリディス氏を詐称したFacebookの偽アカウントが出現し、同氏の知人や友人の個人情報を収集した事件が報道された。偽アカウントの発信元は中国とされており、軍事機密情報を狙ったものと疑われる。それ以前にも同様の手口による米国や台湾の企業家からの機密情報詐取が行われていた。また米国陸軍参謀副長官のジョン・F・キャンベル氏もFacebookとSkypeになりすましアカウントによる不正投稿が行われていることを本物のアカウントからの投稿で注意喚起した。
 国内で明らかな情報窃取事例は今のところ見当たらないが、怪しいアカウントからの「友達申請」を受け取ったことがある人は多いだろう。見知らぬ美形の人物写真入りでSNSビギナーを装うものもあれば、実際の「友達」と何らかのつながりがありそうな人物、あるいは「友達」と同姓同名、1字違いといった紛らわしいアカウントで接触してくる場合もある。ウッカリ了承して「友達」になってしまうと、投稿内容が閲覧されてプライベートな情報や所属組織などの情報が漏洩する可能性があり、さらに「退会を予定しているので連絡のためにメールアドレスを送ってほしい」というように、非公開の個人情報を要求されることもある。これは詐欺や所属組織に向けた標的型攻撃のための準備活動なのかもしれないし、入手した個人情報を売買する目的なのかもしれない。
 また、あるテーマパークの企業アカウントを詐称したなりすましのケースでは、様々な特典をちらつかせてはアフィリエイトサイトへのアクセスを誘う投稿が繰り返された。「公式」を名乗ってはいたが、いかにも怪しいこうしたアカウントの中には15万人のフォロワーを獲得したものもあったという。

(2)偽アカウントを使用した攻撃やアカウントの乗っ取り
 正当なユーザのアカウントのID/パスワードを窃取して悪用する攻撃もある。インターネットの海外ブラックマーケットではSNSアカウントが1件数円程度で大量に売買されている。一部のSNSでは特殊な手口を使って自動的に大量のアカウントを作成することができるので、売買されるのは実態のないものも多いが、ユーザに気づかれないように仕込まれたPCのボットが収集し、ボットネットに流した実在のアカウントや、巧妙なソーシャルエンジニアリングによって入手した実在アカウントもまた多いようだ。
 そんな偽アカウントを使って、本当のターゲットのSNSログインパスワードをリセットし、完全に乗っ取る手口も使われている。Facebookで使われた手口では、攻撃者は3つの偽アカウントを使い、それぞれ攻撃対象ユーザと「友達」になって、対象ユーザを「信頼できる連絡先」として設定する。対象ユーザがお返しに攻撃者の偽アカウントを「信頼できる連絡先」として設定すると、攻撃者が対象ユーザのパスワードをリセットすることができる。Facebookは3人の「信頼できる連絡先」ユーザが申請すると、パスワードリセットができる仕組みになっているからだ。これが行われると、対象ユーザは突然パスワードが拒否されてアクセスできなくなり、攻撃者がそのアカウントを自由に使うことができるようになってしまう。

(3)炎上を誘う偽アカウントによる投稿
 国内では政治家や芸能人など著名な人物の名を騙った偽アカウントが主にTwitterで登録され、特定の個人や組織への中傷に近い批判を投稿したり、政治的主張を書き込んで「炎上」を誘う不正行為が多い。例えば、あるプロレスラーの写真入りプロフィールを利用したなりすましアカウントからは特定テレビ局を批判する内容の投稿を行い、その投稿に対するリプライを、無関係のタレントの名を騙るなりすましアカウントで行って、多くのフォロワーの反応を煽るという手口が使われた。いやがらせやいたずらである場合が多いようだが、対象が企業だと、意図的にブランドを毀損する目的で炎上工作を行うこともありうる。

(4)従業員による不適切投稿
 昨年は主に飲食店での従業員が食品を使った悪ふざけの写真をSNSに投稿し、「不衛生」「従業員教育がなっていない」と非難される事件が多発した。設備の消毒・清掃や休業の必要に迫られ、個人経営の会社では閉店に追い込まれたケースもあった。

(5)ウイルス配布や詐欺
 攻撃用サイトのURLを記してアクセスを誘ってウイルスに感染させる手口や、フィッシングサイトへの誘導も行われている。従来のメールでの攻撃とまったく同じ形だが、SNSでは比較的相手からの信頼を得やすい状況が作りやすいところが問題だ。

 以上のほか、個人対象の不正行為としては例えば公開情報を利用したストーキング、投稿の位置情報や写真のジオタグを利用して「場所」と時間を把握することによる行動監視や空き巣狙い、ドメスティックバイオレンスに絡んだ所在の発見など、生活に大きな悪影響を生じた事件が数々ある。中には殺人事件にまでつながったケースもあり、企業としても情報漏洩防止対策やブランド維持目的のほか、従業員の安全をも考えた対策が必要と言えるだろう。


1

公開情報の悪用を防ぐための対策

 さて、こうしたSNSがはらむ危険にどう対応すればよいだろうか。
 企業がSNSを利用する場合、あるいは企業システムやネットワークを経由してのSNS利用なら、ITツールを使った対策が可能だ。例えば外部SNSの強制的な利用禁止(DNS設定やL7ファイアウォールによるブロック)やDLPツールなどによる機密情報漏洩防止対策、投稿の上長承認機能がある組織内SNS運用専用ツールの導入などが考えられる。しかし本当に問題なのは従業員がプライベートに利用するSNSだ。プライベートに干渉して会社の利用ルールを強制することはできないし、監視することも不可能だ。最終的には従業員個々が、利用法によっては危険があること、また自分自身や所属組織、関係者に関する情報を保護することの意義を理解していなければならないということになる。会社としてまず取り組むべきことは、安全なSNSの利用法、つまりあの手この手で擦り寄り、攻撃のための材料集めを行う相手にしっかりと対応し、危険を避け防衛するための知識を従業員に浸透させることになるだろう。まずはシステム運用管理担当者から勉強を始め、社内に波及させていくことが肝心だ。
 なお、SNSでの情報発信やマーケティングへの利用は多くの企業が着手している。そうした企業活動にはSNS利用ポリシーを明文化したガイドラインが必要になるはずだ。その策定と並行して、従業員(自分自身も含めて)を啓蒙するセミナーや勉強会を開催したり、Eラーニングを導入したりしていくと効果的だろう。

1-1

「友達の友達」はおよそ8500人!個人や企業にまつわる情報の公開範囲を見直そう

 プロフィールで公開する情報、誰でもが目にすることができる情報は必要最低限にするのが第一歩だ。そのような公開情報から分かる「友達」リストは偽アカウントづくりなどに利用され、標的型攻撃や詐欺のターゲットの絞り込みに利用されやすい。
 従来の攻撃者は、「標的」と定めた対象企業の情報収集にスパイ映画もどきの手口を使い、事前準備に多くの時間と手間をかけていた。しかし今ではSNSで攻撃しやすい対象を効率的に探し出し、短時間で周辺の情報を漁ることができるようになったわけだ。

■公開内容、投稿や写真の位置情報に注意

 悪意のない人に見られることを前提に公開している個人情報などは、「自分が攻撃者ならどう利用できるか」を想像しながら見直すとよい。住所や勤務先を公開していなくても、位置情報から自宅や勤務先を割り出すことができるし、「友達」リストから交友範囲や職業なども推測できる。投稿やその写真の位置情報を相手は地図上にプロットして移動状況や所在場所、不在の確認などができる。
 SNSは各種情報をデフォルトでは全員公開の設定のものがあり、また若い層を中心に公開範囲をわざと無制限にしている場合も少なくない。不用意な公開が及ぼす危険を、できるだけ機会を作って紹介・説明することが必要だ。
 また、情報を仲間内でクローズしたつもりで、実際は想定外の人に閲覧可能になっている場合がある。例えばFacebookなら自分の情報の公開範囲を「友達」や「友達の友達」に限ることができるが、NPO日本ネットワークセキュリティ協会(JNSA)が2012年に公開した「SNSの安全な歩き方」によると、友達の数は平均130人、「友達」の半数が重複するとすれば「友達の友達」は8500人にものぼる。1人が把握・対応できる相手は150人程度と言われているので、「友達限定」なら管理可能かもしれないが、「友達の友達」ではもう現実的に管理不可能だ。

【対策1】
 例えばFacebookでは基本設定で各種情報の公開範囲を決められる。他のSNSであっても設定できる場合は情報交換の内容・目的をよく考えて公開範囲を適切に設定することが重要だ。また投稿や写真にも公開範囲の設定が可能なので、デフォルトで公開になっている設定を変更することを考えるべきだろう。個人情報や仕事関連情報が交換される場合には、非公開または秘密のメンバー限定グループ内で行うようにするとよい。
【対策2】
 これもFacebookの機能だが、いつも利用しているブラウザ以外のブラウザが利用された場合に、アカウント所有者にメールで通知するサービスを利用するとよい。これにより自分のアカウントでの不正アクセスに気づくことができる。また、「mTAN(mobile Transaction Authentication Numbers)」という認証技術も利用可能だ。これはログイン操作の際、登録された携帯端末にSMSで6ケタのコードを送信し、20分以内にユーザがコードを入力しないと新規端末からのログインができないようにする仕組みだ。

■写真へのタグ付け機能はよく理解してから利用する

 Facebookには写真への「タグ付け」機能がある。相手が写真に写っている自分にタグ付けすると、それが自分のタイムラインへのリンクになる。その写真を見た人は誰でも自分のタイムラインを閲覧できることになるし、一緒に写っている人(親しい人の可能性が高い)にもタグ付けしてあれば、その人のタイムラインも参照可能になる。位置情報も利用すると、交友関係や特定時間の所在が把握されることになる。秘密にしておきたい会合が、この機能でバレてしまうことがある。

【対策】
 写真へのタグ付け機能の利用範囲も設定で制限可能だ。「タイムラインとタグ付け設定」で設定を変更するとよい(図2)。

図2 タイムラインとタグ付け設定画面の例(Facebook)
図2 タイムラインとタグ付け設定画面の例(Facebook)

コラム:Facebookの「グラフ検索」日本語版登場の前に知っておくべきこと

 英語版Facebookで備えられた「グラフ検索」機能は、ユーザの公開情報を簡単に検索し、特定属性をもつ人を探し出せる機能だ。この場合の「グラフ」は関係性、関連性のことを指す。図3のように属性のリストから例えば「企業名」を指定し、「部門管理者」「役員」などの職種を指定すれば、該当する人が写真入りでリストアップできる。また特定の場所やテーマに関連する投稿写真を一覧したり、自分や「友達」がシェアしている写真の一覧も可能だ。たいへん優れた便利機能ではあるが、標的型攻撃や詐欺、ストーキングなどのための格好の材料集めの窓口として悪用されることも考えなければならない。

図3 グラフ検索の絞込み項目の例(Facebook英語版)
図3 グラフ検索の絞込み項目の例(Facebook英語版)

セキュリティ情報局にご登録頂いた方限定で「SNSが引き起こす恐怖のセキュリティ事件簿」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


SNS/SNSが引き起こす恐怖のセキュリティ事件簿」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「SNS」関連情報をランダムに表示しています。

SNS」関連の製品

InSite for Business 【ディスカバリーズ】 オンプレミス型ビジネスチャットシステム 【ChatLuck】 【ネオジャパン】 YARNをコアとしたHadoopで小売事業者のビッグデータ分析を強化 【ホートンワークスジャパン】
グループウェア 社内SNS ビッグデータ
マイクロソフトのクラウドサービス「Office 365」にSharePointのサイトテンプレート「InSite」を標準実装。1名からでも利用可能。スマホ、iPad、携帯、マルチデバイス対応。 オンプレミス型のビジネス向けチャットシステム。チャットアプリを中心にリアルタイムかつ効率的なコミュニケーションを実現。セキュリティなどビジネスに必要な機能を搭載 “YARN”でレベルアップしたApache Hadoop、実用事例を多数公開

SNS」関連の特集


「巨大地震が起きた!」「休暇の間に新型インフルエンザの大流行した」...。そんな時あなたの会社では社…



スマートフォンの火付け役「iPhone」、発売前から期待値が高い「Xperia」…。種類が増え、難し…



高機能化が進むビデオ会議や寡占化著しいCDNの仕組みを紐解きながら、YouTubeなど動画共有サイト…


SNS」関連のセミナー

ビジネスコミュニケーションツールの最新事情 【HDE】 締切間近 

開催日 12月7日(水)   開催地 東京都   参加費 無料

メールに変わるコミュニケーションツールとして、チャット、メッセンジャー、社内SNSなどを検討する企業が増加しています。本セミナーでは、LINEスタンプが使える法…

OpenAMによるシングルサインオンの概要 【主催:かもめエンジニアリング/協力:オープンソース活用研究所】 締切間近 

開催日 12月7日(水)   開催地 東京都   参加費 無料

【本セミナーに参加していただくメリット】・オープンソースのシングルサインオン「OpenAM」について、その仕組みの概要や、何ができるのかについて、理解していただ…

【大阪開催】Office 365 × HDE Oneで始める働き方改革 【HDE/日本マイクロソフト】  

開催日 12月15日(木)   開催地 大阪府   参加費 無料

クラウドサービスの普及によりメール以外のコミュニケーションツールとして、社内SNSをはじめとしたコラボレーションの強化を検討する企業が増加しています。Micro…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006691


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ