ソーシャルネットワークを安全に利用するには：Facebook、MySpace、LinkedInなどに潜む脅威

セキュリティ専門家のネイサン・ハミール氏とショーン・モイヤー氏は、「ShmooCon 2009」カンファレンスでソーシャルネットワークのセキュリティについて語った。講演後、両氏はeWEEKの取材に応じ、MySpace、Facebook、LinkedInなどのサイトを安全に利用する方法についてアドバイスした。

[Brian Prince，eWEEK]

　セキュリティ専門家のネイサン・ハミール氏とショーン・モイヤー氏は、ソーシャルネットワーキングサイト（SNS）のセキュリティにまつわる神話に異論をはさむことで有名だ。

　ワシントンD.C.で開催された「ShmooCon」カンファレンスで2月7日に行われた両氏のプレゼンテーションも例外ではなく、彼らはMySpaceやLinkedInなどのサイトにおける攻撃やソーシャルエンジニアリングの実例を多数紹介した。

　講演後にわたしがモイヤー氏に指摘したように、彼らのプレゼンテーションを聞いた聴衆の中には、ソーシャルネットワークは危険に満ちあふれているという印象を抱いて帰った人もいるだろう。しかし、平均的なユーザーやアプリケーション開発者、サイト運営者がセキュリティを改善するための方策は幾つか存在する。

　Idea Integrationという企業で上級セキュリティコンサルタントを務めるハミール氏によると、SNSはまず、プライバシーにかんするデフォルト設定を改善する必要があるという。「ユーザーの自由意思に任せると、平均的なユーザーはたぶん、最もセキュアなやり方には従わないだろう」とハミール氏は語る。「例えば、多くのユーザーは、MySpaceのコメントにHTMLの使用を許可することがセキュリティにどんな影響を及ぼすかを考えたりはしない」と同氏は説明する。

　「ほとんどの人々は、コメントでHTMLを無効にする方法を知らない。彼らはそのリスクを理解していないのだ」とハミールは指摘する。「MySpaceではHTMLコメントを無効にしている俳優やバンドを数多く見かけるが、それはセキュリティ上の脅威を考えてのことではない。人々に巨大な画像を埋め込まれて、MySpaceのページのレイアウトが崩されるのがいやだからだ」

　両氏はこういった問題を解決するための手段として、デフォルトのプライバシー設定の厳格化に加え、潜在的な脅威についてユーザーを教育することを提案した。ユーザー教育の手法としては、セキュリティに関するTipsを記した小さなウィンドウをログイン後に表示するというやり方もあるという。

　「これらのサイトはいずれも、デフォルトでは自分のプロフィール情報が公開されるようになっている」とFishNet Securityの上級セキュリティコンサルタントのモイヤー氏は話す。「大多数のサイトのデフォルト設定では、非公開となっているプロフィール情報はほとんどない。Facebookに設定ページがあることさえ知らない人が多い」

　それに加え、もう1つの基本的な問題は、悪質である可能性のあるオフサイトコンテンツにユーザーがリンクできることだ。「セキュリティの観点から見れば、これはやってはいけないことだ」とハミール氏は話す。

　これと同様に困った問題が、ソーシャルネットワーキングサイトでは本人確認の仕組みが欠如していることだ。特に、LinkedInのようにビジネス目的での利用が多いサイトの場合はそうだ。

　「わたしは自分に好きな名前を付け、eWEEKの従業員だと名乗ることもできる。そんなふうに偽っても、1カ月は素性がばれないだろう」とモイヤー氏は語る。「彼らはこの問題にどう対処しているのか不明だ。従業員が100人以上の企業の場合は、従業員を認証するための何らかのプロセスを導入すべきではないだろうか」

　「要するに、セキュリティ意識が全般的に欠如しているということだ」と両氏は口をそろえる。

　「人々はソーシャルネットワークで自分たちがさらされている脅威に気付いていない。結局、それは誰の責任なのか。ソーシャルネットワーク運営業者なのか、それともユーザーに責任があるのだろうか。わたしは五分五分だと思う」（ハミール氏）

原文へのリンク