情報セキュリティ標語の「あ」：人柱シリーズ

先日、ある方から、もっとわかりやすい「情報セキュリティ」ネタをブログで書いた方がイイ！とアドバイスをいただきました。

セキュリーナセキュリティの「身近でありがち」なネタ、実例を人柱となり公開していく！ことが私のミッションの1つでもあるので、シリーズものとしてお届けしてきたいと思っています。

まずは、情報セキュリティ標語です。

あ：相手だれ？確認するまで、教えない

相手の確認をしないままに、本来教えてはならないことを、言ってしまっているのです。

私の経験では、

１．某飲食店の順番待ち手書きボードに書いた順番が飛ばされたこと。単に順番が飛ばされただけなのですが、ここに携帯の番号を書く場所があり、順番が来ると連絡してくれる。便利なサービスなのですが、このお店から電話をかけた直後に、別な人が私になりすまし、場所を取られてしまいました。すぐに別な席を作ってくれたので、そんなに待ちませんでしたが、店員の人は名前の確認しかしてませんでした。

２．電話だけで完結してしまうサービス、最近では個人情報保護の問題で。。。なんて、大したこともないのに、個人情報保護の観点から・・・と、立派なことを言われることが多くあります。認証に「へぇ。。。そこまでするのかぁ」と、感心することも多くあります。が、私自身が連絡している時に、オイオイもう少し確認してからじゃないとマズイんじゃないの？ってことも多くあります。

３．最近のオレオレ詐欺なんかを見ても、相手が勝手に思いこむような「ふり」をして、教えちゃっているケースが多くあります。ここには心理的な弱点や弱みにつけ込んだ、用意周到な場が作られているので、こんな確認もできないままに、相手のペースに誘導されていきます。実際に動揺したその場でできるかどうか微妙なところですが、このケースで言えば「もしもオレ」ならば、「オレ」しか知らない昔の話題なんか降ってみるのも方法の１つです。

・・・

相手が誘導的に引き出そうとする場合でも、こちらが警戒している雰囲気を醸し出すだけで十分な効果があります。

しかし、相手が誘導的でもないのに、余計なことまでしゃべってしまうことのほうが多いのです。

これ、相手の確認にも限界はありますが、「不意打ちな質問」が弱点なのです。生年月日や干支、星座くらいは、相手も準備しています。

逆に言えば、相手はこちらに対して、逆不意打ち質問を投げつけることで、こちら側を混乱させることもできるのです。

いろんな方法とケースに応じた対応があると思いますが、相手を確認するまで教えちゃダメなのです。