2010年、個人情報窃盗は「パーソナライズ」される？（1/2 ページ）

2010年の犯罪者は、データの断片を使って個人情報を盗めるようなツールを使っているだろうと、あるセキュリティ専門家は確信している。

[Lisa Vaas，eWEEK]

　データをかき集めたハッカーは、スクールバスを捕まえた犬と同じ疑問を抱くだろう――「これからどうする？」と。

　少なくとも悪意あるハッカーについて、ルーロフ・テミング氏はその答えを持っている。個人情報窃盗をずっと容易にするフレームワークという形で。開発の初期段階にあるこのフレームワークは、「Evolution」と呼ばれる。テミング氏はWiktoやCrowBarなどの有名なセキュリティテストツールを開発したセキュリティ専門家。4月18日にセキュリティカンファレンスCanSecWestの開幕講演で、Evolutionのデモを行った。

　Evolutionは名前、電子メールアドレス、企業、単語やフレーズ、Webサイト、あるいはそのハッカー版など、さまざまな個人データをフィードすることで機能する。これらはIPアドレスや仮想ホスト、Netblocks/ASルート、（LinkedIn、MySpace、FacebookなどSNSサイトへの）加入、フォワード・リバースDNS-MX/NSレコード、WhoisレコードやrWhois、参照先レジストラ、Google、マイクロフォーマット（vCardなど）に変換される。

　このフレームワークの優れているところは、情報をある形式から別の形式に変換する点にある。Evolutionはドメインを電子メールアドレスまたは電話番号に変換でき、あるいはその両方を（Whoisドメイン名検索サービスにより）関連するDNSネーム、IPアドレス、Webサイト、（Whois経由で）電子メールアドレス、電話番号、物理的な場所、代替電子メールアドレス、関連する電話番号、同じアドレスで共同ホスティングされているサイトなどに変換できる。

　隠されたデータへの変換を利用するというアイデアは、「AがBを、BがCを指し、XがYを、YがCを指すのなら、AはXを指す」というロジックを土台にしているとテミング氏は言う。変換作業はaffiliationEntity.java、DNSNameEntity.java、DocumentEntity.java、DomainEntity.java、EmailAddressEntity.javaなどのJavaエンティティを使う。

　Evolutionは現在26種の変換を実行でき、「着実に成長している」と同氏は語る。変換の一例として、PersonToEmailPhoneSiteGoogleBlog.javaがある。

　では、これは何を意味するのだろうか？　こうした変換機能は、「個人情報を使って誰が何かできるだろうか」という疑問の答えの一部だ。例えば、電子メールアドレスや社会保障番号を利用して何かできるだろうか？　社会保障番号と、それを変換するエンティティがあれば、個人情報窃盗犯やその他の犯罪者は多くのことができると同氏は指摘する。

　例えば、ドメインと電子メールのデータがあれば、犯罪者は社内から送られたように見せ掛けた電子メールを偽造できる。「うっかり」ccされたように装えば、社員、もっとはっきり言えばBloombergのような企業に、CEOが辞任するとか、経営が破綻するとか、すぐに株を売るべきだとか書いたメールを送ることができる。あるいは、企業の取締役の名前でサイトを登録して、ビジターを集めるためにポルノサイトをミラーリングするということも可能だ。狙った会社の関連会社の技術者からのメールを装い、嘆かわしい「発見」について書いたり、携帯電話からの偽のSMSで、有名投資家に不正を通報するといった方法もある。

　それから株価が下がるのを待って、安く買って高く売る。古典的な株価操作の手口だ。

　「非常に簡単で、気付くのは容易だ。しかしタイミングがすべてだ」とテミング氏は言う。犯罪者が、2つの企業の合併の間など、いいタイミングでこれを実行できればうまくいく可能性は高いと同氏。「必要なのは、人々の心に疑念を生じさせることだけだ」