オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

Facebookの書き込みから情報を入手しTwitterで相手の行動を読む「最近の泥棒」はハイテクだ!

»

今日のネットには情報が溢れています。これを情報洪水と言うのならば、自ら情報をまき散らし「泥棒や犯罪者がやってくる」・・・のは、自己責任としか言いようがありません。そんなこともあることを知らなければ、とてもコワイことです。これは情報噴水と言うのか? ブーメラン式を言うのか? 上を向いて唾・・・と同じです。

Facebookの書き込みにはご注意ください!

犯人はFacebookをチェックしてどの時間にどの家が留守になるのか、細かく把握していたため、50 軒もの家に侵入することに成功し、御用となるまでに盗んだ品物は約20万ドル相当。写真に写ってる現金はもちろん、テレビ、腕時計、バイクのヘルメット(?)、さらに花火まで!でも、この泥棒かしこくないのは、ある日この花火に火をつけちゃったみたいなんですよね~。そこを警察に見つかってしまったのです。

実際に50件もの侵入に成功した情報源は、被害者自らが提供してしまったものになります。この泥棒の素人なところが花火だったのがお粗末な感じです。

ツイッターも原因に? 「ネット空き巣」被害に注意

ツイッターに投稿した写真や動画、たとえばiPhoneで撮った写真に位置情報が含まれていたことから自宅が特定されたり、長期外出中であることが分かる発言内容から空き巣に狙われたりする事件が増えるのではないかと話題が広まった。

また、ケータイ写真の位置情報はツイッターと無関係なため、「位置情報を記録するケータイは多いので、EXIFの扱いをどうしているかはそれぞれ調べておく方がいいかとは思う」「『なくてもいい情報なら最初から消しとこう』という安全策の提案」と使用サービスの確認をうながす声もあがった。

これは国内であったようです。SNSは広く使うことで繋がりが出てくるものなので、閉鎖的で限定された空間の中で使うには向いてないのかも知れません。それならばSNSでなくともことが足りるのかも知れません。

閲覧を限定的に使っている人も多くいますが、Twitterなどはオープンな状態で使われています。自分では身近な端末で「何気ないことをつぶやいた」つもりでも、何気ないことの集積が情報となっていくのです。

“何気ないバラバラの情報の集積を統合・分析することによって、秘密にされている真相が浮かび上がってくる”
~引用:栄光の男たち コルビー元CIA長官回顧録 1978

先日書いた、サイバー犯罪って自分には関係ない映画のような世界?現実は「超古典的でベタ」な手口を知ることが有効

1.オンラインおよびリアルな世界での情報収集

 オフラインでの犯罪を容易にするため、SNSサイトでのステータスの更新など、オンラインでの手段を使うことがあります。例えば見知らぬ人からの「友人になってほしい」という要望を受け入れると、他人がSNSサイトのプロフィールのページで住所を調べ、「2週間の休暇中」であるというアップデートを見つけます。そして、その情報を利用してクレジットカード、銀行取引明細書などの郵便物を盗み出す可能性があります。

TwitterやFacebook、mixiなど、SNSが多く利用されています。事前情報をチェックするには、もってこいなツールでもあります。実際に自宅や職場などの普段の行動エリアを確認しなくとも、容易に収集できる時代になりました。

iPhoneで撮った写真や最近のデジカメは、写真の中にEXIF情報が含まれています。カメラの型番やその写真に関する情報とGPS を使った位置情報まで記録されています。部屋の中で撮った写真でも窓際だったりすれば位置情報が記録されることがあります。屋外でなくともです。

簡単に撮った写真、例えば家の中で撮ったペットの写真や、お料理の写真など、ブログに掲載すればどうなるでしょう?「今日はお休みなのでパスタを作ってみました♪」のような写真に位置情報がバッチリ入っていることもあるのです。

ハイテクな感じはしないのですが、主観の違いかも知れません。が、SNSを駆使してその情報源を使っているとなると・・・やはりハイテク泥棒なのでしょうか? ベタな方法との今どきハイブリッドなのでしょう。

留守中にモノが盗まれるのも困ったことですが、強姦や誘拐などを目的にした犯罪となると在宅時や行動するルート上も危なくなってきます。

EXIFにも残りますが、いずれも位置情報がポイントになります。しかしGPSを使ってなくても、情報の断片はいくらでも繋げていくことが出来ます。

例えば、Twitterはフォローに関係なく、自分の「つぶやき」を引用された「つぶやき」は誰でも簡単にできます。

 自分:○○って作りたてが美味しい♪

 相手:おおぉぉ! w(*・o・*)w やっぱお店の出来たてが最高ですね!

 自分:そうなんです!

 相手:うちは近くにお店がないから・・・

 自分:私はいつも○○店に来ています。。。

こんな普通なやりとりでも、「つぶやき」をウォッチしていれば簡単に見ることが出来ますし、悪意な連中自らが参加して聞き出してしまうことは容易に出来てしまい、警戒感もないでしょう。普通なやりとりですから・・・

大したことない「つぶやき」がほとんどでしょうが、それに乗っかることは簡単です。相手が信頼できる人であっても、それを見ている人が信頼できるとは限りません。友達の友達だから安心?ってことはわかりません。でも動きが丸見えです。

やりとりに面白さがあるTwitterですが、普通に見れば何も問題はありません。誰かわからない人と簡単に会話?やりとり?が出来るツールは滅多にありません。それを別な角度から悪意に使われた場合は、十分な情報を自らが提供していることになってきます。このケースだと、このやりとりの中から現在地がわかってきます。あらかじめ居住地の下見をしていれば、あとどれくらいの時間で戻ってくる可能性があるのか? どんなルートを使ってくるのか?などなど、知りたいことがリアルタイムで見えてきます。足りないことは「つぶやき」を追い掛けていれば流れて来るでしょうし、流れを誘発する方向に持って行くことも簡単でしょう。

何気ないバラバラな・・・もそうですが、何気ない「つぶやき」に、どうでもいいようなことから始まる繋がりの中から、知りたいことを聞き出していく。対面の場合だと時間がかかるようなことでも、ネットを通すことですぐに出来ることも多くあります。もちろん逆も多くあります。

こんなこともあるのだと知っておくこと、ちょっとだけでも気をつけてみること。今後増えていきそうな手口の1つになりそうです。

Comment(2)

コメント

gizmodoのニュースを読んだとき、本当に危ないのはシステマチックに行動情報を分析してターゲット情報を販売するようなアングラ商売がなりたってしまうことだと感じました。
空き巣度の高さに着目してもよし、まずは金持ちそうかどうかに着目してもよし、テロリスト相手なら政府関係者っぽい人に着目してもいいですからね。
それも踏まえてこちらも金目の物を一切持たないクラウドスタイルになるのがいいかもしれません。現金は1円もおかず、PCはネットブックですべてwebサービス。

yoheiさん、コメントありがとうございます。

>本当に危ないのはシステマチックに行動情報を分析して
仰るとおりです。トレースしてログを解析する。これってPCなら普通にやっていることですが、対人間となると。。。可能性&危険性が大きく広がっていくことになります。

金銭目的ならば「それがなくなる」だけですが、それ以外の目的となると考えるだけで脅威を感じます。ポケベルが活躍したような時代と現在の位置情報までリアルタイムに公開する時代とは訳が違いますね。

コメントを投稿する