ソーシャルメディアとの付き合い方

この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。

昨今、ソーシャルメディアを使った様々なサービスがあるが、今回はソーシャルメディアを使うことによるメリットとデメリット（リスク）について考えてみたいと思う。

■ ソーシャルメディアを企業が利用するメリット

今、Twitterやmixi、facebookなどといった、様々なソーシャルメディアが存在する。このソーシャルメディアを用いた、各種割引クーポンサービスや、ソーシャルゲーム*1などの情報提供サイトが多数存在している。これらの情報提供サイトは、従来のサイトと異なり、極めて少ないコストで広告を提供している。これは、利用者が告知することにより、利用していない人に対しても、告知が広がるためであり、企業は多くの友人や知人を持つユーザに対し、情報を提供するだけでよく、従来の広告モデルより安価に広告費を減らすことが出来る。

■ ユーザがソーシャルメディアを利用するメリット

一方、ユーザはソーシャルメディアを利用することで、１０数年ぶりに友人とソーシャルメディア上で再会したり、遠くにいる人とチャットで情報交換する等のメリットが有る。また、企業が提供する各種クーポン等を安価に手に入れることができ、今までとは違った情報の入手ルートを開拓することが出来る。他者の書いた記事を読むことで、今まで思いもしなかった様な情報を定入れたり、他者の意見交換をすることで、新たな考え方を共有することが出来る。

■ ユーザがソーシャルメディアを利用することのリスク

こうした情報交換をすることで、様々な情報を手に入れられる一方、自ら発信する情報には気をつける必要がある。自分を見つけやすくするために、出身校や住んでいる地域、スカイプIDやメールアドレス等といった情報を公開することが有る。こうした行為は、自分を見つけ出しやすくするだけではなく、攻撃者により多くの情報を与えることになり、結果としてなりすましメールや標的型メールが送りつけられる事になりかねない。

■ 標的型攻撃のシナリオ

たとえば、◎◎銀行に勤めるA氏にターゲットを絞ったと仮定する。普通に、A氏に対して標的型メールを送ったとしても、開いてもらうことさえままならないだろう。そこで、登場するのがソーシャルメディアだ。まず、A氏のアカウントを調べることから始める。Facebookでは、本名を書くことが規約に書かれているため、A氏にたどり着くことは容易いだろう。A氏のアカウントを見つけたら、A氏と親しく会話している人を数名見つけよう。ここで、重要なのは見つけるのは複数人であることだ。一人しか見つからなかった場合、ソーシャルメディアを用いた攻撃は諦めたほうが良い。

A氏と親しい人を数名見つけたら、次にその人を含む多くの人たちと、友人になろう。その時、決して素性をばらすようなことはやめることだ。自然にダミーデータを散りばめ、決して本名や個人情報を晒さないようにする。万一、疑われても本人に警察の魔の手が及ばないようにする。A氏に近づくために、A氏と親しい友人たちと知り合いという「担保」を用い、A氏に友人申請をしよう。A氏がよほど疑り深い人で無い限り、A氏の知ってる「友人たちも知ってる」という「担保」によって、A氏は容易に攻撃者からの申請を受け入れるはずだ。

もし、A氏の親しい知人が一人しかいなかった場合、A氏は攻撃者からの申請を疑ったかもしれないし、その親しい知人に、問い合わせていたかもしれない。

A氏の友人として、まんまと潜り込めたら、次はA氏と全く関係のない人たちに、どんどん友人関係を築き、多くの人と友人関係にあることをA氏にそれとなく、アピールしよう。こうすれば、自分を狙っているようには思わないだろう。

A氏と友人たちの、ウォールでの会話は、攻撃者も見ることができるだろう。この会話をよく読み、今何を会話しているのか。それぞれ、共通の興味を調べておこう。その時、会話に登場する友人の個人情報も調べておくことを忘れないでほしい。共通の話題や趣味、個人情報をある程度把握したら、友人になりすまして、A氏にメールを送る。その時の文面はこうだ

「先日、Facebookで話したゲームだけど、新しい情報見つけたよ。よかったら見て、Facebookで感想を送って」と。

メールに添付するURLは、ながければ長いほどよい。下手に短縮URLを使うと、Facebookやツイッターじゃないのになぜ？と、不審がられるだろう。

そのURLに、標的型ウィルスを仕込んでおけば、そのサイトをクリックした瞬間にウィルスの餌食になる。単純なアンチウィルスでは、感染したウィルスのシグニチャを持っていないため、駆除することはできない。もちろん、Facebookで偽装した本物の友人に確認しても、後の祭りだ。

実際には、こんなに簡単に標的型ウィルスを感染させることは難しいだろうが、時を重ねて会話の内容をほぼすべて把握すれば、こうしたことも難しくないかもしれない。

■ 現在地を示すソーシャルアプリ

今、ソーシャルメディアは多様化しており、現在地を示すツールも、ロケタッチや4sqなど多数存在する。現在地を示し、待ち合わせをするには、十分だと思うが、そこに居るということは、他の場所（例えば自宅や会社など）にはいないということになる。一人暮らしの場合、それをツイッターやFacebookなどで他人に対してまで公開することは、空き巣に入って欲しいと言っているようなものだ。こうしたツールを使うなら、相手を限定し、決して第三者に情報を開示しないことだ。

ソーシャルメディアで、なりすましを避けるには、一番良いのはソーシャルメディアを使わないことだが、どうしても使いたい場合は、明らかに個人を特定しうる以上の情報を提供しないことだ。顔写真や本名、連絡先、電話番号など多彩になればなるほど、攻撃者からも特定され安くなることを肝に銘じてほしい。また、自分が知らないけど、共通の知人がいる人から友人登録の申し込みがあった場合、そのまま登録するのではなく、共通の知人の中でも「リアルに連絡先を知っている知人」に連絡を複数取り、「この人ってどんなひと？」と聞くのが確実だろう。もし、「よく知らないんだけど」や「ネットで最近知ってね」という人が、複数出た場合は、要注意として、ペンディグしたほうが良いだろう。承認はあとでもできるし、場合によっては、そのまま無視することも出来る。一度、友人登録を許可してしまったら、登録解除まで、情報が流れてしまうことを理解しておこう。多くの情報を集約し、巨大化するソーシャルメディア。実際に使うときは、十分情報管理には注意したほうが良いだろう。

*1: 弊社も提供している