「SNS」と「ビッグデータ」と「セキュリティ」の方程式を読み解く：“迷探偵”ハギーのテクノロジー裏話（2/2 ページ）

[萩原栄幸，ITmedia]

ブーム（？）のビッグデータ分析

　IT業界で話題の「ビッグデータ」だが、興味深い結果がある。ある企業が、「公開情報だけ」でどのくらい個人を特定できるのか実際に調査してみた。内容や企業名は機密とされたが、数人分の社員IDとパスワードが判明した。多くの人にとっては意外かもしれないが、専門家の間では簡単に想像がつく。いわゆるSNSデータの分析によるものだからだ。

　筆者は、以前に所属していた銀行の労働組合の幹部からこう言われた。

「組合が出している機関誌、銀行が出しているさまざま情報、これは全部公開されています。でも、これらの公開情報だけをある意図で探り、その結果を『全て公開情報だけで導いた』と主張するのは禁止ですよ」

　最初は「なぜ？」と思ったが、後に「なるほど！　こういうことか」と思った。その当時、「ビッグデータ」という概念は研究家以外では知り得なかったものだった。そのうち、データベース化が困難とされてきた世の中の膨大なデータ――システムのログ、監視カメラの画像、通話記録――公開されているデータを使って有機的に分析をすると、意外なほど極めて有効な情報になっていく。その怖さは、実際に分析してみないとなかなか気が付かない。この「ビッグデータ分析」の悪用版が「サイバー攻撃」である。

SNSのビッグデータとサイバー攻撃

　サイバー攻撃を題材にした講演会や無料セミナーが活況だ。協賛企業が「当社のソフトが有効です」「費用対効果からみるとうちはすばらしいシステムです」と提案する。多分、本当だと思う。だが、筆者が長年にわたって企業や官公庁のセキュリティ対策を支援してきた結果から思うのは、「本丸」（情報資産の本体などだ）の防御はどんなシステムでも不可能だということだ。

　それはなぜか。サイバー攻撃は、「本丸」やその団体・企業がガードしている範囲の外側から始まる。例えば、ある国防に関する機密情報が、防衛省に納品をしているA社の国家安全機密データベースにあるとしよう。犯罪者がこのデータを入手すると決めたら、まずはA社のサーバの防御を調査する。pingを打ってノックしてみたり、密かにさまざまコマンドを通常の業務処理のトランザクションに紛れこませたりするのは当然のこと、それだけなく、まずはキーマンを探して、その人間関係を調査する。

　次にキーマンのX氏をターゲットとしたら、X氏の友達の、そのまた友達の奥さん（仮にYさんとする）をターゲットにする。犯罪者は、Yさんの自宅の専用PCを乗っ取る。Yさんがセキュリティの意識もPCのスキルも低く、しかも日常的にネット通販をしているのであれば、この乗っ取り行為は簡単だろう。

　犯罪者は、工夫をしながら何通ものメールをYさんに送る。Yさんが用心深いと、犯罪者は1年くらいこの作業を続けることになるが、決して焦らない。Yさんのようなターゲットを多数用意しているからだ。こうした作業で犯罪者が最も重宝するのは、YさんのSNSや友人との接触だ。ここから家族構成や、主人の勤め先とそのメールアドレス、息子さんの通学先、娘さんのアルバイト先などが芋づる式に分かっていく。さて、YさんのPCや使っているSNSなどの1つに脆弱性があったらどうか。犯罪者が細工したメールの添付ファイルを、Yさんがうっかり開いてしまえばどうか……。A企業がここまで考えてセキュリティを講じられるだろうか。絶対に不可能だろう。

　サイバー攻撃とは、犯罪者がこのように最終目標の外堀を少しずつ埋めながら進行していく。そこで使う手法やアイデアは、ネットで簡単に手に入るものばかりで、決して高度な技術では無い。A社の防御システムを無効化するために、DDoS攻撃など使わないのだ。

　話がやや脇道に逸れたが、多くのユーザーがSNSを安易に、あるいはセキュリティについて盲目的に使っている現状は怖いのである。それぞれのSNSで本当にどこまでセキュリティが考えられているか、情報を保護しているかを考えてみてほしい。それによって、本当の意味でSNSを有効的に使っていくことができるだろうし、その逆もまたしかりだと思う。デジタルの世界において、人間は自らの感性で危険を察知することなど不可能に近い。きちんとそれらの道具の特性を理解して使うことをお勧めしたい。

　実はFacebookを使い始めた最初の数日間、その使い方を習熟せず、実際に会ったことがない人からの「友達申請」を承認してしまった。「上から目線」の言い方かもしれないが、筆者の自戒も込めて上述の点をお願したい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。