サンフランシスコで開催されたRSA Conference。私が参加したパネルディスカッションで、私たちが直面する安全性の低いビッグデータの世界について、興味深い問題が提起されました。Zerofoxのイアン・アミット(Ian Amit)氏は、企業へ侵入するための手段として個人を標的とするサイバー犯罪者が、どのようにSNSを利用しているかについて講演しました。
要は、単純な話です。私たちは、ほぼ誰でもアクセス可能な場所に、大量の個人情報を掲載しています。アクセスできる人の中にはサイバー犯罪者も含まれており、こうした情報は企業へ侵入するために利用可能なのです。
なぜ標的にされるのか?
これはとても理にかなった考え方です。SNSサイトがフィッシング詐欺の主なターゲットであることは、皆さんもすでにご存じのとおりです。そして、皆さんが知っているということは、サイバー犯罪者も心得ているということ。サイバー犯罪者はビッグデータの活用によって、簡単に騙せそうな人や、攻撃の第一の標的を探し出すことができるのです。
Did you know that #socmedia sites are prime areas for phishing schemes? Find out more: https://t.co/eNlAvarhAy #SMM pic.twitter.com/8k12NuAdIp
— Kaspersky (@kaspersky) December 12, 2015
アミット氏はパネルディスカッションの中で、標的にされるリスクが増す要因の1つとして、スポーツや政治、宗教、ある種の社会問題など、世論を二分する話題に対して積極的に投稿する人を挙げました。たとえば、ある政治家(ここではバーニー・トランプ氏としましょう)に対して非常に高い関心を示す人は、その政治家本人の投稿と似たような投稿をアップする偽アカウントにひっかかり、キャンペーンのメッセージと見せかけたフィッシングURLをクリックしたりシェアしたりする可能性が高いのです。
このほか、企業のITや広報、経理などの部門に所属する人も標的になるおそれがあります。いずれも企業の機密情報とつながりがあるからです。上層部や役員職も標的になる可能性があります。
対策は?
今すぐ簡単にできる対策は、基本的なサイバーセキュリティの成功事例に従うことです。つまり、よくわからないリンクはクリックしない、検証済みのファイルのみ開く、差出人を確認する、を実践するのです。特に、差出人の確認は、最近Snapchatがフィッシング被害に遭った事件からわかるように、とても重要です。
つい先日、Snapchat社員がフィッシングによって内部情報を漏えいしてしまったと報じられました。他人事ではないお話です… https://t.co/l90bJBEqhG pic.twitter.com/DzqnhsBYu5
— カスペルスキー 公式 (@kaspersky_japan) March 4, 2016
さらに、SNSサイトで誰かをフォローバックする際も慎重になりましょう。もしかすると、相手はあなたに害を及ぼすつもりでいる偽アカウントかもしれません。
企業もこうしたプロファイリングを実践すべきか?
リスク評価のためにビッグデータを活用するのは、時期尚早に思われます。多くの企業は、何百万もの顧客を抱えながらもビッグデータの力をフル活用できていません。ましてや何千人もの社員がいる企業が大規模導入するなどありえないでしょう。
もちろん、プロファイリングを実践する事例や企業も数多く存在するでしょうが、該当するのは非常に機密性の高い業界や物議を醸している業界だと私は考えています。
SNSのプロフィールを守るには?
Kaspersky Daily(当ブログ)では、SNSをセキュリティの観点から考え、利用者として取るべき対策をご紹介しています。