Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アンケートに気軽に答えてはいけない

つぶやいてみた。

2018年にFacebookユーザの個人情報約5,000万件を不正窃取したケンブリッジ・アナリティカは心理テストアプリが原因でしたが、人の脆弱性を狙う手法は他にもある事を予感させる記事が出ていました。

www.lobservateur.com

あなたのスーパーヒーローの名前は何ですか?あなたのドッペルゲンガーはどの漫画のキャラクターですか?あなたは平均以上の知性を持っていますか?オンラインでこれらの質問に答えることは時間を過ごすための面白い方法のように聞こえるかもしれませんが、司法長官のジェフ・ランドリーはソーシャルメディアの調査とクイズが問題になる可能性があると警告しています。

「オンライン調査やクイズは無害に見えるかもしれませんが、実際には、ハッカーや詐欺師にさらされる可能性があります」と、Landry司法長官は述べています。「どれが無実の楽しみであり、どれがあなたの身元を盗もうとしている悪役のカバーであるか、またはそれより悪いものであるかを判断するのは困難です。」

 

キタきつねの所感

「フィッシング」や「秘密の質問回答」の材料と考えると、この怖さが分かるかも知れません。

SNS上に生年月日や出身学校、好きな食べ物といった個人情報を掲載している方は未だに多いかと思いますが、少し警戒してSNS上の個人情報の掲載を最小限に絞られている、あるいは外部アプリケーションへの情報開示を丁寧にチェックしてから許可を出している方であっても、「調査」「アンケート」という形で気軽に個人情報を入力してしまう可能性がある事には留意が必要です。

 

最近のフィッシングサイトは本物そっくりで、例えば日本語の不自然さ、URLの鍵付きマークといった従来のフィッシングサイトの見分け方だけでは不十分となってきており、セキュリティに詳しい方でも引っかかる可能性がある時代です。

SNSは私たちの生活とは切っても切れない存在になっていますが、こうしたSNS上での手口を変えた「攻撃」は今後益々進化していくものと思われます。その中でも、よくありそうな調査(アンケート)やクイズを答える事に対してリスクが指摘されています。

 

米国ルイジアナ州の司法長官であるジェフ・ランドリー氏は、以下の点について気を付けるべきと記事に書いています。

どれも一般的な事ではありますが、第三者のクイズ(アンケート)の視点で見ると、気づかなかった脆弱点に気づくきっかけになるかも知れません。

 

懐疑的になります。 クイズに答える前に、誰がクイズを作成したかを確認してください。ブランドのなりすましに注意してください。疑わしいと思われる場合は、クリックしないでください。

・プライバシー設定を確認します。 プラットフォームのプライバシー設定を確認し、共有する情報と共有する相手について厳しくしてください。

プロファイルを保護します。 電話番号や自宅の住所などの個人情報を公開したり、プロフィールの他のコンテンツを閲覧できる人を制限してください。

・セキュリティの質問には絶対に答えないでください。 母親の旧姓、最初のペットの名前、出身地、子供の住所、以前所有していた車、好きな食べ物、小学校の名前など、セキュリティに関する一般的な質問に答えないように注意してください。 。

・デジタルフットプリントを最小限に抑えます。 古いアカウントを見つけ、個人情報を削除し、アカウントを無効にします。

・保護されたままにします。 オペレーティングシステムを定期的に更新し、マルウェアスパイウェア、およびアドウェアの保護を提供するウイルス対策ソフトウェアを使用します。

(Observateur記事より引用)※機械翻訳

 

1点目。アプリ開発者までチェックしていますか?暇つぶしのアプリは、情報収集(スパイ)ツールである可能性もあるのです。

開発者は信頼できる所でなければ、そこで集められた情報(ビックデータ)が何に使われるのかは分からないのです。

 

2点目と3点目は、多くの方が既に警戒ポイントにしているかと思いますが、不要な個人情報閲覧の権限は、「必要な権限」しか与えない事が無難です。

例えば「暇つぶしアプリ」が、何故電話帳の情報を必要としているのか?そうした視点で権限付与については、慎重になる癖をつけるべきです。

 

4点目は、繋がりが重要なSNSだと「自分だけ」守れば良いというものではない事も覚えておきたいポイントです。

母親と友達で繋がっている場合、母親のアカウントにある友人からのメッセージから「母親の旧姓」が判明する事もあります。

また、小学校の親友が「誕生日おめでとう」とメッセージを入れている場合、貴方の誕生日(月日)はプロフィールに書いてなくても判明するだけでなく、友達のプロフィールから年齢(生年)、あるいは出身小学校が判明する可能性もあるのです。

友達同士では秘匿では無い誕生日等の情報であったとしても、それが別な場所(資産管理:例えば会員サイトアカウントの秘密の質問)に使われていた場合、直接的な被害を受ける場合もありますし、フィッシング情報として悪用されてしまい、更なる被害を受ける事も考えられるのです。

 

こうした対策で重要な点の1つは、開示する情報を限定的にする事ですが、これはセキュリティの世界で言う、「最小権限付与」の考え方と似ています。個人のSNSだからといって安心せず、「危機感」を頭の片隅に置いて利用すべきかと思います。

 

余談です。NISTでは非推奨となっている秘密の質問ですが、未だに色々な所で使われています。SNS等でヒントが調べられてしまう可能性がある、秘密の質問には「真面目に答えない」というのも良い対策だと思います。

 

この場合、自分が覚えていて他人には推測できない「回答」が良い回答になります。

※例えば「Q 母親の旧姓は?」に対して「A パンケーキ食べたい」と設定しておくと、質問と回答に関連性が無いので、悪意のある攻撃者がSNSから情報を拾ってきたとしても、正解にたどり着くのはかなり困難だと思われます。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

クイズに答えている男性のイラスト「マル・バツ」

 

更新履歴

  • 2021年8月1日 AM