2010年、個人情報窃盗は「パーソナライズ」される？（2/2 ページ）

[Lisa Vaas，eWEEK]

　このような犯罪を可能にするのに、Evolutionなどのツールは役に立つだろう。このツールは、ホットリンク付きの結果をリストかスパイダーダイアグラムの形で返し、あるデータについて行われた変換と、それがどこにつながるのかを示す。問題は、テミング氏が不正に利用され得るこのフレームワークで何をしようとしているのかだ。

　実際、Evolutionは従来のセキュリティの大半をこなせると同氏は言う。DNS、IPアドレス、ドメインなどの標準的なフットプリンティング（標的の情報収集）、フィッシングサイトの特定、セキュリティ対策の弱いパートナーの発見に使える。

　一方、ソーシャルエンジニアリングやクライアントサイド攻撃の標的を特定したり、ウォーダイヤリングの範囲を見つけたり、攻撃用の代替アドレスを見つけたり、特定の組織のビジネスドライバーとその敏感さを理解するのにもこのツールは使える。例えば、標的の電話番号や代替メールアドレスを把握しておくなど、説得の助けになるデータを持っていると、ソーシャルエンジニアリング攻撃に大いに役立つ。

　これはテミング氏が言うところの「Web2.0の恐ろしい側面」を示している。「Web2.0には優れた技術があるが、技術を実際に使う際のセキュリティ実装についてはほとんど知られていない」

　「実際の犯罪者はバッファオーバーフローを書かない。最も抵抗が少ないルートをたどる」（同氏）

　一般的な犯罪者は技術の進歩に後れを取る傾向があると同氏は言う。例えばフィッシング攻撃は、1995年ごろから知られていた。問題は、2010年に犯罪者が何を考えているかということだ。テミング氏は、サイバー犯罪者は、同氏がEvolutionで見せたもの、つまり情報の断片を使って個人情報を盗めるフレームワークに「近い」ツールを使うと確信している。

　「（犯罪者は）こうした情報を組み合わせて、特定の出来事を操作するツールを入手できるだろう」（同氏）

　先の例でもまだ恐ろしくないという人のために、以下にさらにテミング氏が説明したことを挙げる。

米航空宇宙局（NASA）でGmailを使っているのは誰か？
MySpaceを使っているNASA職員は誰か？
カブールでSkypeを使っているのはどの人か？
どこの国に海軍基地があるか？
近所の異性愛者の（あるいはそうではない）若い独身女性の氏名と電子メールアドレスは？

　できれば、偽の求人広告を掲示するともっといいとテミング氏は語る。「ウラン濃縮の経験および軍関係の経歴を持つ原子物理学者・技術者募集。高給、401k、歯科保険、休暇25日、フレックス」

　応募者が履歴書を送ってきたら、それを利用して応募者になりすまし、応募者の名前で電子メールアドレスを作り、ブログにコメントを付け、SNSサイトに加入する。

　このようにして犯罪者は、半分（あるいはそれ以上）虚偽の、しかし（オンラインでは）信頼できる人物を作り出し、悪事を働くことができるとテミング氏は語る。これは、Web2.0のセキュリティ実装はたいてい見落とされているが、犯罪者が近い将来それに気付く可能性が高いことを表している。

原文へのリンク