オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

サイバー犯罪って自分には関係ない映画のような世界?現実は「超古典的でベタ」な手口を知ることが有効

»

サイバー犯罪なんて、映画の1シーンのような世界で自分には程遠い話だろう・・・と思われがちですが、犯罪の舞台がサイバー上なだけで、実際には超古典的でベタな手法で「こと」はなされています。

 サイバー犯罪者は、ユーザーがホテルやカフェでセキュリティ対策の施されていないワイヤレスネットワークにログオンする機会を狙っています。また、機密文書が無人の家に置いたままになっている可能性が高いことも知っています。個人情報を盗む最も一般的な方法は、財布を盗んだり、ごみ箱や郵便をくまなく調べたり、セキュリティ対策の施されていないPCから情報を盗み出したりすることです。これらの犯罪から身を守るためには、出かける前に、どのような行動が危険であり、また、どうすれば個人情報を守ることができるかを学ぶことが必要です。

IT絡みの犯罪やサイバー空間で行われることと聞くと、暗闇の中にいるコンピュータに精通し「映画の1シーン」に出てくるようなイメージと脅威だけが先行しているように感じています。

確かにイメージ的には「きっとそうなのでしょう」が、現実は「超古典的でベタ」な手法により行われています。

1.オンラインおよびリアルな世界での情報収集

 オフラインでの犯罪を容易にするため、SNSサイトでのステータスの更新など、オンラインでの手段を使うことがあります。例えば見知らぬ人からの「友人になってほしい」という要望を受け入れると、他人がSNSサイトのプロフィールのページで住所を調べ、「2週間の休暇中」であるというアップデートを見つけます。そして、その情報を利用してクレジットカード、銀行取引明細書などの郵便物を盗み出す可能性があります。

TwitterやFacebook、mixiなど、SNSが多く利用されています。事前情報をチェックするには、もってこいなツールでもあります。実際に自宅や職場などの普段の行動エリアを確認しなくとも、容易に収集できる時代になりました。

iPhoneで撮った写真や最近のデジカメは、写真の中にEXIF情報が含まれています。カメラの型番やその写真に関する情報とGPSを使った位置情報まで記録されています。部屋の中で撮った写真でも窓際だったりすれば位置情報が記録されることがあります。屋外でなくともです。

簡単に撮った写真、例えば家の中で撮ったペットの写真や、お料理の写真など、ブログに掲載すればどうなるでしょう?「今日はお休みなのでパスタを作ってみました♪」のような写真に位置情報がバッチリ入っていることもあるのです。

2.ネットワーク接続の監視

 外出中は、セキュリティ対策の施されていないワイヤレスネットワークへユーザーがログイン中にサイバー犯罪者がPCに保存されている個人情報を入手する、また、セキュリティ対策の施されていない公共のPCを使用中に電子メールやオンラインバンキングのパスワードがキャッシュされ、他人があなたのアカウントにログインするといった脅威にさらされる危険が高まります。

ネットカフェも気をつけるべく場所になります。モバイルなWi-Fiが増えると、間違って接続(拝借)してしまう危険性のセキュリティな話題でも書きましたが、知らずに繋げてしまう危険が多くありますし、今後もっと増えるでしょう。

3.昔からあるのぞき見

 財布を盗んだり、クレジットカードや銀行の情報がないか、郵便をくまなく調べたり、ごみ箱をあさったりするなど、昔ながらの方法は依然として極めて有効です。外出中は、犯罪者が自宅を調べたり、ホテルのロビーやカフェで置き引きをしたりする可能性も高いのです。

ショルダーハッキングと言われる、後ろから肩越しにパスワード入力を見る手口があります。最近のATMなどには後方を確認する鏡のようなものがあるので、前方ももちろんですが、後方にもっと注意を向けてみることが必要です。 

郵便受けにカギをつけるのは最低限としても、南京錠がぶら下がっているだけでカギがかかってないケースや、そもそも何もしていないケースが多くあります。形状にもよりますが、郵便物を入れる場所からプラスチックなど堅めの薄い板を入れることで、郵便物を盗むことは容易にできます。

これらの情報収集から、次のステップに入っていくのです。全然サイバーっぽくありません(笑)

被害に遭わないためにすべきこと

  1. 休暇で家を空けるときは、FacebookやTwitterのようなSNSサイトに自分の居場所を投稿しないでください。なりすまし犯罪者があなたの不在を知る可能性があります
  2. 不在中は、友人や家族に定期的に郵便物を収集してもらってください。郵便物がたまっていると、なりすまし犯罪者のターゲットにされやすくなります
  3. ホテルは主なターゲットになるため、部屋を離れる前には、必ずPCやスマートフォンをロックしてください
  4. ホテルやインターネットカフェでセキュリティ対策の施されていないワイヤレスネットワークを使う際は、十分に注意してください。銀行口座の残高の確認や個人情報の入力を避けると同時に、メールやパスワードで保護されたWebサイトからは忘れずにログアウトしてください。また、インターネットカフェなどのPCは、個人情報を盗み出すマルウェアに感染している場合が多いことにも留意してください

2などは、新聞紙が溜まっている状況だけで不在日数がわかりますよね。何日いなかったのか?だけでも充分なネタと思います。

サイバー犯罪に使うための情報収集に、ITを使うこともあれば、ベタなアナログ手法を使う場合もあります。アナログ手法のが簡単にできますし、警戒心も低くなってきます。ダマシの典型的な方法です。これならITの知識も必要ありません。同時にITの知識が少ない人に対しても、有効であります。そこにITっぽいことを匂わせればもっと効果は上がるでしょう。

IT以前からある手法と、ITとの組合せをしただけですが、この組合せは最強の力を発揮することになります。古典的な手口を知っておくのは、日常生活の中でも、ビジネスの場面でも利用価値がありますので、今一度確認してみてはいかがでしょうか?

新倉 茂彦 2010/09/02 14:10:31 Comment(0)