2017年3月15日
2017年3月15日
2017年3月15日(水)
壁ドン、アイドル、そしてセキュリティ
独立行政法人情報処理推進機構(IPA)
技術本部 セキュリティセンター調査役 加賀谷 伸一郎
私どもIPAでは「情報セキュリティ安心相談窓口」を運営しており、日々、電話やメールなどで寄せられる相談に対応しています。どなたでも、気軽に相談していただける窓口です。私自身、相談窓口業務に携わって12年以上になります。この業務を通して、気付いたこと、思ったことを記します。
IPAに寄せられる相談でダントツに多いのは、「アダルトサイトのワンクリック請求」事案です。ひと頃より落ち着いてきたとは言え、今でも月に200件前後の相談が寄せられ、IPAにとっても悩みの種です。ワンクリック請求とは、「パソコンにアダルトサイトの請求画面が表示され、その画面を閉じたり、パソコンを再起動したりしても繰り返し表示される」というものです。ワンクリック請求事案は、2003~2004年頃には出現していましたが、未だに被害が無くなりません。これはなぜでしょうか。
一つ目の理由は、「被害者がお金を払っている」からです。アダルトサイトにまつわる事案なので周囲の人に相談しづらく、「お金を払って解決できるなら・・」という気持ちなのかもしれません。とは言え、サイトの仕組みは非常に単純なものなので、一度引っ掛かった人は二度と被害に遭わないと思います。なのに、被害は収まらない・・・なぜでしょうか。次の理由に続きます。
二つ目の理由は、「ワンクリック請求の手口を知らない初心者が日々量産されている」ことです。いつの世にも、パソコンやインターネットに不慣れな人は居ます。もちろん、ワンクリック請求の手口など知る由もありません。初めてパソコンを買った人が、インターネットにつなぎ、検索サイトで「アダルト」と入力して検索し、ワンクリック請求サイトに自ら到達してしまうのです。
こうした実情の下、どんな対策が有効なのでしょうか。「アダルトサイトを見ない」ことはどうでしょうか。いや、効果は薄いでしょう。だって、アダルトサイトを見たい人にこんなことを言っても、聞いてもらえないでしょうから。では「悪意のあるサイトのブラックリストを作り逐一参照する」ことはどうでしょう。この場合、ブラックリストを更新するのも大変ですが、その割には新しく出現したアダルトサイトに対しては無力です。
どうやら、単純な方策では、自分の身を守れなさそうです。実際のところ、ワンクリック請求の被害に遭わないためには、「通常のホームページ閲覧では個人情報は漏れない」「“警告”画面を見逃さない」「[はい][いいえ]のボタンの意味を考える」といった【基本的な事項】を押さえつつ、あとは随時【応用】する能力が求められると考えます。
ワンクリック請求に引っ掛かってしまうのは、日頃、セキュリティには関心の無い方々が大多数だと思います。そのような方々に、まずは情報セキュリティに興味を持っていただき、そして【基本的な事項】として正しいセキュリティ対策の知識を知ってもらうにはどうしたら良いでしょうか。
一つの解として、今までとは次元の違うアプローチが有効だと思います。例えば、IPAが原宿で展開した「壁ドン」など少女漫画素材をモチーフとしたパスワード強化キャンペーン(現在も掲示中)。セキュリティとはほぼ無縁なファッショナブルな街に突如出現した、コミカルではありますがよく読むとシリアスな意味が込められたセリフ(加賀谷が監修)の巨大パネル。街をゆく多くの人が二度見し、女子高生はパネルを指さしながら「何あれ!超ウケるんだけど!」と仲間同士で盛り上がっているのを見掛けました。Twitterでは「どうしたんだIPA」「大丈夫かIPA」「ついに壊れたかIPA」などと書かれ、大いに話題になりました。従来とは異なる訴求手法により、セキュリティにはさほど興味の無い人々の五感に、直接訴えかけることができたと思います。
そして今回の「ソードアート・オンライン×官民連携サイバーセキュリティ月間イベント『サイバー攻撃を目撃せよ!2017』」では、アニメを前面に押し出したコラボ企画となっていました。私はこのイベントにて、スマートフォン不正アプリのデモを実演する担当でした。私のデモにおいて、被害者役としてアイドルグループ欅坂46(けやきざか)の土生瑞穂(はぶ・みづほ)さんが出演していただけるとの告知が3月1日にウェブページに出た途端に、アイドル界隈のまとめサイトはそのニュースで賑わっていました。
セキュリティ系のイベントの話題が、一見場違いに思えるようなところで取り上げていただけたことは、非常に嬉しく思います。アニメとアイドルで集客力を高めたことで、セキュリティに興味が無い人でも、多くの人にまずは現場にお越しいただけるのではないかとの思いで、気持ちが高ぶって来たことを覚えています。あとは、何かしらセキュリティ対策についての【基本的な事項】を知っていただくよう、私を含めスタッフ総出で頑張るだけ。いや、まずはセキュリティに関して考えるきっかけになってくれるだけで、大きな収穫になるだろうという思いでした。
そうした気負いが災いしたのでしょうか、当日のデモ本番ではトラブル続出で退場寸前の冷や汗モノ。しかし、禍を転じて福と為すとはよく言ったもので、ステージ上でのトラブルシューティングが功を奏し結果的にデモ実演は成功し、かえって注目を集めたことで大いに盛り上がりました。
その後、ウェブのニュースでは「ハプニング満載の1時間」などと記事に書かれてしまい、私としては、史上最悪の黒歴史となりましたが・・・何はともあれ、非常にたくさんの方々にお越しいただけたということ、土生さんが参加したトークイベントは大成功だったこと、そして個人的にはアイドルと業務で堂々と絡めたこと、それら全てが印象的で嬉しかったです(元々、私が土生さんファンであったことはナイショです)。
IPAは、今後もより一層情報セキュリティ対策の普及啓発コンテンツ開発に励むとともに、演出や宣伝の方法に工夫を凝らし、より多くの人々の手元、いや脳裏に残る有用な情報を届けるべく、精進していきます。
IPAに寄せられる相談でダントツに多いのは、「アダルトサイトのワンクリック請求」事案です。ひと頃より落ち着いてきたとは言え、今でも月に200件前後の相談が寄せられ、IPAにとっても悩みの種です。ワンクリック請求とは、「パソコンにアダルトサイトの請求画面が表示され、その画面を閉じたり、パソコンを再起動したりしても繰り返し表示される」というものです。ワンクリック請求事案は、2003~2004年頃には出現していましたが、未だに被害が無くなりません。これはなぜでしょうか。
一つ目の理由は、「被害者がお金を払っている」からです。アダルトサイトにまつわる事案なので周囲の人に相談しづらく、「お金を払って解決できるなら・・」という気持ちなのかもしれません。とは言え、サイトの仕組みは非常に単純なものなので、一度引っ掛かった人は二度と被害に遭わないと思います。なのに、被害は収まらない・・・なぜでしょうか。次の理由に続きます。
二つ目の理由は、「ワンクリック請求の手口を知らない初心者が日々量産されている」ことです。いつの世にも、パソコンやインターネットに不慣れな人は居ます。もちろん、ワンクリック請求の手口など知る由もありません。初めてパソコンを買った人が、インターネットにつなぎ、検索サイトで「アダルト」と入力して検索し、ワンクリック請求サイトに自ら到達してしまうのです。
こうした実情の下、どんな対策が有効なのでしょうか。「アダルトサイトを見ない」ことはどうでしょうか。いや、効果は薄いでしょう。だって、アダルトサイトを見たい人にこんなことを言っても、聞いてもらえないでしょうから。では「悪意のあるサイトのブラックリストを作り逐一参照する」ことはどうでしょう。この場合、ブラックリストを更新するのも大変ですが、その割には新しく出現したアダルトサイトに対しては無力です。
どうやら、単純な方策では、自分の身を守れなさそうです。実際のところ、ワンクリック請求の被害に遭わないためには、「通常のホームページ閲覧では個人情報は漏れない」「“警告”画面を見逃さない」「[はい][いいえ]のボタンの意味を考える」といった【基本的な事項】を押さえつつ、あとは随時【応用】する能力が求められると考えます。
ワンクリック請求に引っ掛かってしまうのは、日頃、セキュリティには関心の無い方々が大多数だと思います。そのような方々に、まずは情報セキュリティに興味を持っていただき、そして【基本的な事項】として正しいセキュリティ対策の知識を知ってもらうにはどうしたら良いでしょうか。
一つの解として、今までとは次元の違うアプローチが有効だと思います。例えば、IPAが原宿で展開した「壁ドン」など少女漫画素材をモチーフとしたパスワード強化キャンペーン(現在も掲示中)。セキュリティとはほぼ無縁なファッショナブルな街に突如出現した、コミカルではありますがよく読むとシリアスな意味が込められたセリフ(加賀谷が監修)の巨大パネル。街をゆく多くの人が二度見し、女子高生はパネルを指さしながら「何あれ!超ウケるんだけど!」と仲間同士で盛り上がっているのを見掛けました。Twitterでは「どうしたんだIPA」「大丈夫かIPA」「ついに壊れたかIPA」などと書かれ、大いに話題になりました。従来とは異なる訴求手法により、セキュリティにはさほど興味の無い人々の五感に、直接訴えかけることができたと思います。
そして今回の「ソードアート・オンライン×官民連携サイバーセキュリティ月間イベント『サイバー攻撃を目撃せよ!2017』」では、アニメを前面に押し出したコラボ企画となっていました。私はこのイベントにて、スマートフォン不正アプリのデモを実演する担当でした。私のデモにおいて、被害者役としてアイドルグループ欅坂46(けやきざか)の土生瑞穂(はぶ・みづほ)さんが出演していただけるとの告知が3月1日にウェブページに出た途端に、アイドル界隈のまとめサイトはそのニュースで賑わっていました。
セキュリティ系のイベントの話題が、一見場違いに思えるようなところで取り上げていただけたことは、非常に嬉しく思います。アニメとアイドルで集客力を高めたことで、セキュリティに興味が無い人でも、多くの人にまずは現場にお越しいただけるのではないかとの思いで、気持ちが高ぶって来たことを覚えています。あとは、何かしらセキュリティ対策についての【基本的な事項】を知っていただくよう、私を含めスタッフ総出で頑張るだけ。いや、まずはセキュリティに関して考えるきっかけになってくれるだけで、大きな収穫になるだろうという思いでした。
そうした気負いが災いしたのでしょうか、当日のデモ本番ではトラブル続出で退場寸前の冷や汗モノ。しかし、禍を転じて福と為すとはよく言ったもので、ステージ上でのトラブルシューティングが功を奏し結果的にデモ実演は成功し、かえって注目を集めたことで大いに盛り上がりました。
その後、ウェブのニュースでは「ハプニング満載の1時間」などと記事に書かれてしまい、私としては、史上最悪の黒歴史となりましたが・・・何はともあれ、非常にたくさんの方々にお越しいただけたということ、土生さんが参加したトークイベントは大成功だったこと、そして個人的にはアイドルと業務で堂々と絡めたこと、それら全てが印象的で嬉しかったです(元々、私が土生さんファンであったことはナイショです)。
IPAは、今後もより一層情報セキュリティ対策の普及啓発コンテンツ開発に励むとともに、演出や宣伝の方法に工夫を凝らし、より多くの人々の手元、いや脳裏に残る有用な情報を届けるべく、精進していきます。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。