「秘密の質問はきっちり管理！」と公言したところ……：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

　では、これが一体なんのヒントになるのでしょうか。実はiTunesで使われるApple IDアカウントは、「秘密の質問」（アップルでは「セキュリティ質問」）を設定できます。ところが、二要素認証（2ステップ確認）を設定すると、この秘密の質問は不要です。

　つまり、Apple IDの秘密の質問を管理しているということ、それはすなわち、「Apple IDで二要素認証を利用していない」という、セキュリティの設定が「甘い」ということを自らアピールしてしまっていることにつながるのです。

　前回記事では自信たっぷりに「ソーシャルエンジニアリングに気を付けよう」と書いた本人が、完全にその術中にハマってしまいました。これは大変お恥ずかしい……（実際はApple IDの二要素認証はきっちり利用していますので、過去に聞かれた秘密の質問が残っていただけというオチではありましたが）。

気を付けても情報は漏れる――対策は可能なの？

　今回、自らセキュリティが甘いことを思わず公言してしまいました。このようなソーシャルエンジニアリングに関してまだまだ学ばなくてはならないなあ、と思うお話でした。

　以前、このソーシャルエンジニアリングに詳しい方にお話を聞いたところ、海外においては、いいハッカー、悪いハッカーともに、このソーシャルエンジニアリングを研究していない人はいないとのことでした。彼らはエンジニアに接触すると身振り手振りを含め、相手から情報を引きだすテクニックをフル活動させるそうです。ソーシャルエンジニアリングの知識がある同士の会話は、まさに行動心理学と行動心理学のぶつかり合い。例えば、「相手が知識を持つ人間なら、あえて『間違ったこと』を言うと、相手がポロリと言ってはいけないような本音をこぼすんですよね」と……。

　ネットワークに対するサイバー攻撃は、昨今「多層防御」という言葉で表現されるような、1つ突破されても最後まで突破されなければいい、という考え方が主流になりつつあります。しかし人間の場合、多層防御はなかなか実装不可能でしょう。ポロリと一言しゃべったことで「突破」されたことになります。ソーシャルエンジニアリングに対する明確な防御方法はほとんどないのではないかと思いますが、「こんな事例があった」という知識は役に立つかもしれません。

　今回わたしは見事「突破」されてしまいました。その恥ずかしい記録が皆さまの役に立てばうれしいです。

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。みなさんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。