オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

例えばデータベースから不正に入手された情報を、攻撃な視点で考えてみると・・・どんな悪用ができるか?

»

米転職サイト大手のMonsterは1月23日、社内データベースへの不正アクセスがあり、情報を引き出される被害が起きたと発表した。

発表によると、不正アクセスされたのはユーザーID、パスワード、電子メールアドレス、氏名、電話番号といったユーザー情報。ただし履歴書は盗まれておらず、社会保障番号や資産情報などは従来から収集していなかったという。

現時点で盗まれた情報の不正利用は見つかっていないとしながらも、ユーザーにはパスワードの変更を促し、盗まれたメールアドレスあてに詐欺メールが届く恐れもあると警告。Monsterから一方的に電子メールを送ってユーザーネームやパスワードの確認を求めたり、ソフトウェアやツールのダウンロードを促したりすることはないとしている。詐欺メールにだまされることのないよう、ユーザーの自衛措置を求めている。

 

先日も、決済処理会社の米Heartland、悪質ソフトで不正アクセスの事件があったばかりです。詳細は不明ですが、犯人にとって何らかの有効な情報が入ったことでしょう。

今回の米国大手転職大サイトですが、昨今の労働事情や米国(日本も含んで)の事情を考えると、入手された情報は、またしても犯人にとって有益な情報であったことでしょう。

もちろん、私はこの事件に関与していません(笑)。しかし、もしもこれらの情報を持っていたら・・・何に使えるのか?攻撃的な視点で考えてみます。

悪用で考えると、どうしても詐欺的なネタしか思いつかないのですが・・・

 

1.転職サイトに登録されたデータなので、転職したい人の情報なはず。であれば、よくある内職商法的なものを売る。

これは、如何に魅力がありそうなイメージを購入者(騙された人)がもてるか?がポイントになります。

巨大な市場がありそうな、絶対にない「ここだけの話」っぽい、限定(決して限定でない)的な残り**人みたいなとこでしょうか。これだけの魅力的なビジネスを始めるにあたり、初期投資は僅か○○ドル(円)って感じですね。

ワラにも掴みたい人を欺く、古典的な方法だと。。。

 

2.漏洩した情報、実は履歴書も含まれていたので、削除できますよ・・・って

これ、誰にもわからないですよね。そもそも、そんな情報があること自体証明のしようもないのですから。もっとも詐欺であれば、そんなのがあってもなくてもいいのです。あると騙された人が信じればいいだけなので。。。

本人(騙された人)にとっては、履歴書が漏れたら困る人も多くいるはずです。通常、公開するようなものではないからです。結局、そんなところを付け込んで不安を煽るのです。別に必要なければ、削除しないだけなので、どっちでもいいですよ・・・と。必要ならば、お手伝いしますと。もちろん有料で。

 

3.既に米国では流通している、個人のデータと組み合わせた複合技で狙い打ち

日本では考えられない個人の情報が売買されています。資産状況や本人も知らない情報など、決して信憑性が高いとは言い難いものまで含まれていますが、情報は多い方が活用する場合に都合いいことも多いものです。

先の2に書いたものや、既にある情報と組み合わせたモノにより、誰しもそんなに悪いことをしている訳じゃないのですが、思い当たれば・・・なことは少なくともあるはずです。

前職の会社での不正などを(していなくとも)騙された人が勝手に想像するような、アプローチで匂わせることで、「ヤバイ!あのことだ!」って、騙している側も知らない(どっちでもいい)話からイメージを膨らませるだけです。

これは立派な恐喝です。しかし、本人(騙された人)も表沙汰にしたくないこと・・・ならば、狙えそうなターゲットを決めれば、いいだけのことでしょう。

・・・・・・・

これ、例えばの話です。こんなことができるのならば、どのように守ればいいのか?そんなところが見えてくるはずです。

インターネットがなかった頃にもあったはず、ですが、今時でも検索しても出てこない。しかし、ニュースを見る限りは存在してそうな感じもする。そんなありそうでなさそうで、なさそうでありそうな、弱点を巧みに突いてくる、突いていけることができるのです。

結局は、ゆすり、たかり、詐欺になるのですが、そんなことができるネタがある以上、こんなこともあると。。。知っておく必要が十分にあります。

攻撃と防御は、常に攻撃側のが強く優位にあるので、防御側である人たちも「怯まずに」いて欲しいです。ただ、心当たりのあるような心理的弱点を狙ってきますが、それに乗ってしまったら、次々に”よいカモ”になってしまうだけです。

どの時代にもある話ですが、インターネットや大量のデータがコンピュータで処理される時代だからこそ、また、インターネットのすべてが誰にも見られないこと、もしかして・・・と思えてしまうような見えない脅威がありそうなこと。

守るだけのアプローチよりも、たくさんの手法が見えてくると思うのです。

Comment(2)