2017年3月10日（金）

SNSとのつきあい方

 ナビプラス株式会社
 サイバーリスク研究所　片山　昌樹

　SNSによって様々な情報が飛び交っている。
　そんな飛び交っている様々な情報から、得られる真実について書いてみましょう。
 
　SNS上では、〇〇診断と言われる様々な診断ツールがあります。その多くは、ハンドル名や名前などから、一定のプログラムによって導かれた結果を表示する物があります。
　この結果が、ただのジョークであることは、おわかりのことでしょう。
 
　では、質問に答えていくモデルはどうでしょうか。この情報に答えていくと、確かに正しい診断結果が出る場合も有るでしょう。しかしながら、こうした情報収集には、落とし穴があります。問われている情報には、必ずその裏が存在します。生年月日を暗に求めている場合、それは年齢を示す物であり、後から質問する内容を変更することで、あたかもあなたの情報を知っているかのように振る舞うことも出来ます。
 
　あなたに近づくために、様々な罠を設置し、診断システムを提供する側が本当に欲しい情報を効き出しているかもしれません。
　ここで手に入れる情報を下に、後日別の形で標的型攻撃に結びつける何かを得ようとしている可能性もあります。
　また、質問をせず、個人情報を収集する場合も、単なるお遊びではなく、標的型攻撃に利用される可能性もあります。
 
　私が、SNS上で実験したケースでは、「皆さん質問です。皆さんが最初に利用したパソコンは何ですか？」の質問では、数多くの「セキュリティを生業とする人たち」が、答えて下さいました。これを違う形で、利用していたOSや、はじめて使った言語など、様々な質問を行い、その人の素性がどういう物なのか。どういう過去を経ていたのかを確認することが出来ました。
 
 　今回の質問では、ターゲットとなる人を用意しませんでしたが、やっていることは〇〇診断と何ら変わりません。答えてくれる方達の情報を収集し、分析することで過去を知ることが出来ました。
 
　最後に、皆さんに質問です。
　皆さんが答えているSNSにどれくらい真実はどれくらい有りますか？
　皆さんは、質問の意図を理解していますか？