【ODRピックアップ】20151112 リスクも3.0
インテリジェンス(諜報)の世界は、冷戦スパイの時代1.0を経て、今やビッグデータとともに膨大なデータをかき集め諜報する2.0時代、そして、ネットを活用したヒューミント、膨大なデータからターゲットのデータだけを抽出して行なう3.0の時代になってきているそうです。
【ODRピックアップ】20151111 送らないメール - ODR Pickups/
1.スマホも危険
スマートフォンやKindle、最近ではBlackberryの次機種が採用したAndroidの開発ツールに正式機能として組み込まれたバックドアの脆弱性があることが、メディアおよびセキュリティツールのトレンドマイクロ社から発表されました。
中国企業の百度(Baidu)によって作成されたSDK Moplusは、様々なアプリケーションに組み込まれている可能性があり、起動されると自分で利用者のスマフォなどにHttpサーバーを起動し、結果的にこのサーバー経由でいろいろなことができるようになってしまいます。
しかし、今回の問題に限らず、既にAndroid向けの不正アプリは260万種あるとされています。
そして、無料のWifiアクセスポイントは、誰がどのように傍受しているかもわからないし、空港なども危険度は高いのはいうまでもない。ここで「偽の携帯アクセスポイント」を創ることもその道のプロたちには簡単なことで、「アクセスのためのアプリ」などと称して不正アプリをダウンロードされられている可能性もあります。実際、海外の空港なら、普段は用心していたとしても、それっぽい名前の無料アクセスポイントがあれば、必要に駆られて接続してしまうことは十分にあります。
2.預けたデータも流出する
2014年には、セキュリティリスクに備えている筈の複数の企業からも、データが流出しました。
米国のソニーピクチャーズエンターテイメントは、メールデータだけでなく、制作途中の映像データまでもハッキングされ流出したとしています。決してソニーのセキュリティが”特に”手薄だったわけではないでしょうが、”「どんな企業でも今回のような攻撃が行われれば耐えられない」との声も出ている。”との分析も出ています。
ネットを通じたハッキングによるものだけでなく、「ベネッセの個人情報流出事件では、2260万件以上の情報。流出経路は、外注先エンジニアによるデータ持ち出し、個人情報の販売事業者を通じたもの」でしたが、他にも、LINEのID乗っ取り、Yahoo! JAPANのID流出事件、ドワンゴのニコニコ動画ID流出など、IDとパスワードに関するものが多いのが注目されています。
分析によれば、そのアカウントへの不正パスワードによるアクセス回数などから単純にIDとパスワードが流出したのではなく、暗号化していない杜撰なサービスから盗み出したデータとのマッチングを試みて突破していったのではないかとされています。
3.個人がとれる対策
そうなると、個人としては、パスワードを使い回さない、定期的に変更するなど基本的なことを徹底することしか考えつかないが、これも、数が増えてくると忘れる、混乱するなど実害が生じる可能性もあり、結局、管理のための集約をすることになり、それが盗まれれば元の木阿弥という堂々巡りになってしまいます。
怪しいサービスには手を出さないなど、自力で守るようにしていかないといけなくなってきています。
まるでネット初期に戻ったように。
4.企業まかせの限界
完璧なセキュリティはないというのが、もはや定説になっています。実際に、セキュリティ会社のアドバイスする対策にしても、完璧がない前提で、ハッキングをする人にコストメリットがないような工夫をすることになってきます。情報を取り出しても金銭的メリットがないよと分かればやらないだろうと。
しかし、国家を挙げて国家が予算を組んで仕掛けてくるハッキングには、そうした費用対効果を下げる対策は効きません。
インテリジェンス3.0、セキュリティ3.0、ヒューマン3.0。。。なんでも進化して、なんとか3.0になっていくので、リスクも3.0になっていきますが、その対策は、現実社会と同じように、常に気を配る、あぶない所に近づかない、怪しい言葉に乗らないなど、原点回帰、地道なものを着実に行なうというところに落ち着いていくのかな。