「スパイ」と聞いて、どんな人をイメージしますか?
スリリングな場面を次から次へとくぐり抜けて行くような、クールで、ずば抜けて優秀で、イケメンまたは美人で、でもちょっと憎めない人間らしいところがあって、といった映画の中にいるような人を思い描くかもしれません。しかし、本物のスパイはそんなものではありません。
恋人の振りをして近づいてくるさほど美人ではない女性だったり、同僚で別の部署のあいつだったり、嫉妬を燃料に爆走を続けるストーカーだったり…。本物のスパイはさまざまな形でもっとさりげなく抜け目なく我々の生活にすでに溶け込んでいるかも知れません。
もちろん、だからといって全ての人に対して猜疑心を持って接するというのは不幸なことで、やるべきことではありません。しかし、知らないうちに個人情報が悪の手に渡ってしまわないように、ある程度の注意を払うことはこの現代社会では必要なことといっていいでしょう。
では大事な個人情報をスパイの手から守るために我々ができることとは、一体どのようなことでしょうか?
■オンライン情報を厳密に管理する
スパイの目的は他でもなく情報を見つけ出すことです。スパイはどこを調べれば、あなたに関する情報、もしくは特定の誰かに関する情報を簡単に入手することが可能かを知っています。それはどこだと思いますか? 安全対策および調査に関する専門家であるBrandon Gregg氏によると、答えはやはり思った通りのものでした。
現代の世の中で特定の誰かに関する情報を仕入れるために最も重要なソースはインターネットです。主にFacebookやLinkedInへの投稿が大きな手がかりとなります。これが重要な情報のおよそ90%を占めます。残りの9%はTLO、CLEAR、Intelius、Lexis Nexisなど、有償データを提供しているプライベートデータベースから入手可能です。残りの1%(パスワード、秘密、ごく個人的な情報)はソーシャルエンジニアリングトリックで入手可能です。
ある調査によると、34%もの人が何の見返りもない状態でパスワードを自分から教えてしまい、自分のIDを盗むために使われる危険性のある情報を質問された際に79%の人がそれに対して回答するのだそうです。もっと踏み込んだ調査によると、70%以上の人がチョコレートと交換にパソコンのパスワードを他者に教えてしまったのだそうです。
またLinkedInで調べることが可能な対象の人に、関係の深い人の名前(例えば、上司の秘書)を使ったり、着信の際に電話に表示される番号を偽装するなどのソーシャルエンジニアリングを行うことで90%前後の確率で情報を引き出せてしまうそうです。
プライベートデータベースに情報が集められることを防止することはできませんが、オンライン上でどんな情報を公開するのかは自分で制限することによってソーシャルエンジニアリングの犠牲になることを予防することが可能です。
■オンライン上の投稿に注意せよ!
個人情報を開示しないための最善策は、オンライン投稿をやめること、ではなく、投稿する内容を変えることです。自分の生活に関する詳細を公開すれば公開するほど、あなたの情報を見つけることはたやすくなり、あなたの信頼を得るためにそれらの情報を活用することもまたたやくなります。
投稿すること自体に問題があるわけではなく、もっと注意深く行うべきです。FacebookやGoogle+などのソーシャルネットワークには特定の投稿を一部の人に対してのみ公開する、という設定が用意されています。個人的な投稿が見れるグループ、個人的な情報は公開しないグループを作成し、Facebook上のプライバシーをしっかり管理しましょう。Google+でも同様のことが可能です。
全ての人に対して投稿を公開する場合、または、個人的な繋がりが強い人たち以外にも情報を公開する場合には記事へのリンクやお気に入りの商品、他の人の画像や物の画像、オンライン動画などに関する投稿に留めておくのが賢明です。その場合でもあなたの興味の傾向を知り、それを活用して誰かがあなたの信頼を得ようとする可能性はゼロではないので、投稿する、という行為は必ずリスクを伴います。ちょっとしたことに気を配ることにより、ソーシャルエンジニアリングハックの犠牲者となることは避けられるのです。
より注意が必要なのがオンラインチェックイン機能を使用する場合です。自分の場所を公開することにより、それを見た人はあなたがどこにいるのかをすぐに特定することができます。ある時から泥棒はオンラインチェックイン機能を使って対象としている人が留守かどうかを確認し始め、オンラインチェックイン機能の危険性を広めるためにPlease Rob Meなどのサイトが登場したのです。チェックイン機能を使わなければ、これに関して心配する必要はないですが、どうしても使用したい場合はできるだけ公開範囲を狭めておくことが重要です。誰が見ているのか分からないのがインターネットなので、世界に向けて公開する、というのはあまりにも無防備です。
過去にアップしてしまったもので削除したいオンラインデータがある場合、簡単ではありませんが、可能な方法があります。インターネット上から姿を消す方法(英語)の記事も合わせて読んでみてください。
■パスワードを聞いて来る人は誰も信用するな!
ソーシャルエンジニアリングハックへの対策や個人情報をスパイから守るためにできること、というのはさほど多くありません。本当の意味で安全でいるためには健康的なレベルでの被害妄想が必要です。
言葉に出して言われると当たり前のように聞こえますが、他の人にパスワードは絶対に教えないでください。ソーシャルエンジニアリングはあなたのパスワードを盗むことを標的としています。パスワードを完全にプライベートに保つことにより、あなたの安全度は飛躍的に向上します。そして、あなたがパスワードを教えなかったからと言って、ソーシャルエンジニアリングが失敗に終わった、というわけではありません。
あなたのガードを下げ、さほど重要ではないように思える個人情報を少しずつ引き出して行くのも彼らの戦略なのです。パスワードを教えてください、とダイレクトに言って来る頃には彼らはあなたのかなり近くまで来ていると考えてよいでしょう。プライベートな情報を誰かに教える前にその相手のことをどのくらい自分が知っているのかをもう一度考えてみてください。
ソーシャルエンジニアリングから自分を守る方法についてより詳しく読んでみたい方はこのガイド(英語)をどうぞ。
■ゴミの処理をきちんとしよう
保護すべき個人情報は何もパソコンの中だけにあるわけではありません。メールやファイルなどの昔ながらの伝達手段にも個人情報はたくさん含まれています。手紙やレシートからも、あなたのプライバシーはどんどん漏れています。そしてそれらのデータが一箇所に集められた場合、セキュリティーリスクは高まってしまうのです。
あなたの自宅の近くに住んでいる人であればこれらの情報へのアクセスはあなたの知らないうちに盗み出すことが意外とできてしまうのです。また、あなたの自宅へのアクセスまではできない、という人の場合でも、注意しておかないとあなたが出すゴミから大量の情報を得ることができてしまいます。自分が出したゴミを他者が漁るのは違法ではないか、と思うかも知れませんが、出されたゴミの所有権の線引きは実はかなり曖昧です。多くの場合、それは違法行為とは見なされません。
現在の米国連邦法およびほとんどの州法では
(1) ゴミ箱の中身に対するプライバシーの保護を期待するべきではない。
(2) 鉄製のゴミ箱や不透明なビニール袋に入れられた状態で家の前で収集されるのを待機している状態であっても、人はそのゴミに対する財産としての価値をすでに放棄したものとみなす。
という内容の法律になっています。これは修正されて然るべきに思えますが、何はともあれ現状はこうなっています。
ではゴミ箱の中にはどんな魔法が隠されているでしょうか?
Brandonの説明によると:
ゴミは人が自分のプライバシーをどれだけおざなりにしているのかを鮮やかに映し出してくれる個人情報の宝庫です。捨てた人にとっては何の意味も持たない情報からどれほどの情報が紐解かれるのかを知ると、多くの人は恐怖心を抱いてしまうでしょう。家族の名前、以前の住所、電話番号、口座番号、銀行預金、クレジットカード履歴、そしてDNA情報(歯ブラシ、クシ、カップなど)まで、見つけようと思えば、ありとあらゆる情報がうじゃうじゃと見つかり、ソーシャルエンジニアリングを行うための格好の燃料となっているのです。
ゴミ荒らしから身を守りたい、と思うのであれば、ゴミをシュレッダーにかける必要があります。安価なシュレッダーでは裁断された紙の大きさが荒いので、時間をかければそれらの情報を簡単に組み立て直すことは比較的簡単です。購入するのであれば縦に切るだけでなく横にも切り込みを入れるクロスカットが可能な本格的なシュレッダーがオススメです。物理的に存在しているものはまた組み直されてしまう危険性を伴いますが、クロスカットされた文書を再生するのはかなり困難です。
■誰かに見張られてるかも?と思ったら
スマートフォンへのアクセスが可能であれば誰かの行動は今の時代、文字通り手に取るように分かってしまいます。スマートフォンへのアクセスができない場合でもGPS追跡デバイスはかなり安価に簡単に入手可能です。誰かにつけられている、と感じたら、下記をチェックしてみてください。
まずはGoogle Latitudeが携帯電話にインストールされていないこと、またはアクティブになっていないことを確認してください。特定の設定をすることにより、あなたがいる場所を定期的に投稿させるようにすることがGoogle Latitudeでは可能です。しかもその情報を見ているスパイが誰かを知る術はありません。またFlexispyというソフトがインストールされている場合、スパイは携帯の情報のほとんどにアクセスすることができます。これを実行するためにはスパイはあなたの携帯へアクセスする必要があります。推測しにくいパスワードを設定し、信頼できない人とは絶対に共有しないことがオススメです。
実際、追跡ソフトをあなたの携帯にインストールする、というのはなかなかハードルが高いのですが、GPSデータロガーを使ってあなたを追跡することは驚くほど簡単です。BrandonによるとeBayでこの手のデバイスはただ同然の値段で入手可能なのだそうです。試しに検索してみたところ、Google Shoppingでも簡単に見つけることができました。車に仕込んでおけば、一週間なり二週間なり、スパイは常にあなたを見張ることが可能となります。誰かに追跡されている、と感じた場合、定期的に車をチェックして見てください。より詳細な情報を知りたい、という方はこの記事も合わせて読んでみてください。
■スパイのシッポをつかもうとするべからず
スパイの存在も映画のような話ですが、自分も映画のヒーローのようにスパイを華麗に捕らえる、というのはやめておきましょう。実際問題、スパイを捕まえ、スパイ行為を証明する、というのは非常に難解です。スパイはどのように捕獲されることを回避するべきかについて聞いてみたところ、その多くのミスは簡単に避けて通れそうなものばかりでした。
誰かをスパイしている時にやけどを負ってしまうというシナリオは実に多く用意されています。あまりに近くを歩きすぎたために気付かれてしまう、という初歩的なミスからカメラや音声機器を見つけ出すTSCM装置のような高度なカウンター監視戦略まで実に多種多様です。いずれにしても重要なのはあまり積極的にならないことです。
ターゲットをよく知り、戦略が裏目に出ないように注意深く行動します。誰をどのような理由でスパイしているのかにもよりますが、通常の場合、ターゲットは明日もそこにいます。時間をかけて計画を立てることが大切です。自分がスパイされていると思っている人はほとんどいません。それを逆手に取るのです。もしもターゲットと鉢合わせになってしまった場合、背中を向けてその場から歩き去りましょう。逮捕された場合と同様、何も話さなければ、次に話す材料はどんどん減っていくのです。
誰かがあなたをスパイしている、ということが分かったところで、その証拠を揃えることができるのか、というとまたそれは別の問題です。基本的には証明できない、と思ったほうが良いかも知れません。
その代わりに常に注意を払い、自分を守る対策を講じていくべきなのです。簡単に個人情報を人に与えない、世界に向かってむやみに情報を開示しない、というのは基本中の基本となります。我々のほとんどはスパイの対象になることはない、はずですが、絶対にない、とは言い切れません。嫉妬深い恋人だったり、復讐心に燃える敵だったり、恨みねたみを胸一杯に抱える同僚だったり、近くにいる人たちがあなたの個人情報を見つけたい、と思った場合、それがどのくらい難しいことなのか、というのは今一度考えておいた方が良いかも知れません。
次の角を曲がった先に誰がいるのか、それが見知らぬ誰かなのか、友人なのか、それは誰にも分かりません。いずれにしても自分の情報を守るための努力を常にしていればさほど心配することはない、はずです。
今回の記事にはBrandon Greggから専門家の観点からの貴重なアドバイスを頂きました。Brandonは過去12年に渡り、多くの会社を相手に盗難、詐欺、組織犯罪、産業スパイなどの調査を行って来ました。数多くの有名なケースを手がける傍ら、監視、電子情報の科学捜査、複雑な調査、道徳ハックなどについての教育、本の執筆、講演などの活動を続けています。彼についての詳しい情報はこちらからどうぞ。
Adam Dachis (原文/訳:まいるす・ゑびす)
image by Christopher T. Howlett (The Noun Project) & Harijs A. (Shutterstock).
http://news.goo.ne.jp/article/lifehacker/life/living/lifehacker_27667.html
