<1秒で「グラフ検索」の全機能が使用可能になる>
――個人のセキュリティ対策に関してお話頂けますか。
守屋 企業同様、攻撃者の手法については大きな変化はありません。ただし、「なりすますし」にしても「ウイルス」にしても進化しています。
新しい話題であげれば「標的型メール」が急激に増加していることだと思います。これは特定の組織や人物を狙い、情報を盗み取るウイルス付ファイルなどを添付し、メールで送りつけるものです。相手方の知人の名前や取引のある組織を騙り、信用させた上でファイルを開かせますので、注意しないといけません。
――その後、フェイスブック関連ではいかがですか。
守屋 フェイスブック関連で言えば、私が今注目しているのが「グラフ検索」(注1)という機能です。グラフ検索の機能は日本語版ではまだ機能が制限されています。しかし、日本にいても、ワンクリック(言語設定を日本語⇒English.US)すれば全機能が使えるのです。では、全機能を使えることになるとどうなるのか?この説明を私が講演などでしますと、「気味が悪い」とか「怖い」と言って会場がいつもざわつきます。
たとえば、私がA社に勤めていることがわかったとします。その場合、グラフ検索条件でA社と打ち込めば、私のデータはもちろん、A社に勤務してフェイスブックに登録している人物のデータを即座に見ることができます。
さらに、そのなかから独身女性一覧を出すことや、P大学卒業生一覧を出すことも容易です。グラフ検索はある特定の人を見つけると言うよりは、ある特定の組織にいる人を見つけるイメージです。しかし、一度その組織に入ることができれば、個人に辿り着くことは容易になります。ここには大きな危険が孕んでいます。
<赤の他人からメールで「誕生日おめでとう!」>
守屋 個人に辿り着くことができれば、フェイスブックの場合は、顔、年齢、誕生日、住所、友達関係や趣味嗜好などが容易にわかります。「なりすまし」は"朝飯前"になります。
赤の他人に「誕生日おめでとうございます」とその人の同僚、趣味仲間、同窓生になりすましてメールを送ることができます。さらに「こちらはB電気会社ですが、C区にお住いの方にアンケートをお願いしております。お答えはこちらにご送付ください」とか「同じA社の何々ですが、同窓生のP先輩、この新製品の情報を教えて頂けませんか」と騙り、情報を盗むことも可能になります。たとえ知財関係の企業秘密でも、友達とか同窓の後輩という人間関係から入るのでガードがとても甘くなります。
注1.グラフ検索:人や場所・写真や音楽などを、フェイスブック上で公開している情報から絞り込み検索できる機能。英語版では、近況からコメント、写真のキャプション、ノート、チェックインまでが検索可能になっている。
<プロフィール>
守屋 英一(もりや えいいち)
2007年に日本アイ・ビー・エム株式会社入社。セキュリティ・オペレーション・センターを経て、2011年に情報セキュリティ推進室に異動。社内の不正アクセス事件及びISMS内部監査を担当。2012年にIBM Computer Security Incident Response Teamへ異動。社外活動として、明治大学ビジネス情報倫理研究所客員研究員、日本シーサイト協議会運営委員、警察庁「不正アクセス防止対策に関する官民意見集約委員会」委員、経済産業省「CTAPP運用・技術WG」委員ほか。2012年度NPO日本ネットワークセキュリティ協会表彰個人の部を受賞。著書に「フェイスブックが危ない」、「フェイスブック 情報セキュリティと使用のルール」がある。
※記事へのご意見はこちら