特定非営利活動法人の日本ネットワークセキュリティ協会(JNSA)が、SNSのセキュリティとプライバシーの課題と対策をまとめた『SNSの安全な歩き方』を報告書として11月19日に公表しています。
この報告書は、SNSを利用して起きたトラブルの事例を挙げて、どのようにすれば安全にSNSを活用できるかを取りまとめています。
個人はもちろん、企業がSNSを活用する上でも参考となりますので、内容を確認していきたいと思います。
SNSの安全な歩き方
この報告書では、SNSのセキュリティとプライバシーに関する問題が、4つに分類されています。
プライバシーに関する情報の集積、マルウェア感染や詐欺行為のプラットフォームとしての利用、偽アカウント・アカウントの乗っ取り、不適切な発言・行為です。
それぞれの項目について見ていきます。
プライバシーに関する情報の集積
この項目については、さらに7つに分けられています。
不用意な公開
SNS上に記載しているプロフィールなどの個人情報や、自分の生活パターンの投稿などが、インターネット全体に公開されていることを知らずに被害を受ける可能性を指摘しています。例として旅行やチェックイン情報で、留守にしているのが分かってしまい、空き巣に入られる危険性が挙げられています。
この不用意な公開については、特に若年層に多く見受けられるといいます。特にインターネットに触れたときからSNSを使っている、いわゆる“デジタルネイティブ”の世代では、すべての情報を公開することがポリシーとしている人もいるとしています。しかし、公開した情報はキャッシュなどのカタチでインターネット上で半永久的に残ってしまうため、将来的に問題となる可能性を自覚し、利用者が公開する内容や公開範囲を吟味する必要性を説いています。
設定の不備
SNSは広告や個人データの利用で収益を得ているため、情報をスポンサー(広告主など)へ公開している場合が多く、必然的にユーザーが入力する個人情報も多く求められます。また、SNSの個人情報の収集は事前確認ではなく、停止などを求められたときに対応するやり方が主流です。
またプロフィールなどに記載された個人情報や、写真や位置情報などの投稿は、デフォルトの設定で全体に公開されている場合は多いため、公開範囲に注意しましょう。個人情報が多く求められているということは、それだけ多くの情報が公開される可能性があります。そのため、公開範囲を確認する必要性があるとしています。
知識不足
利用者の知識不足や、危険性の認識不足のために、自分の情報を公開している場合があるといいます。『公開範囲に関する問題』『位置情報に関する問題』『詐欺行為の存在』『オンライン広告に対する認識』などに対する知識が問題になることが多いとしています。
アプリケーションによる公開
Facebookはサードパーティが開発したアプリケーションを利用できますが、このアプリケーションは基本データやプロフィール情報、投稿の権利などにアクセスすることができます。つまり、Facebookを使っているユーザーと、ほぼ同じことが可能となります。そのため、利用される範囲が不明確な点と、他の人と共有した情報に対してアクセスができる点が問題になるとしています。
研究者がFacebookにBOTを送り込んで大量のユーザーデータを収集したことを事例にあげています。
“友達”による情報の公開
SNSに写真を投稿したり、チェックインしたりする場合に、友達と一緒にいることを公開するタグ付けという機能があります。この機能によって他者に知られたくないことが、タグ付けされた投稿によって露呈していまう危険性を孕んでいるといいます。
また、このタグ付けはSNSのアカウントと紐付けられている場合が多く、それを悪用される可能性もあると指摘しています。
他の情報との関連付け
複数のSNSやメールサービス、ブログなどの情報が関連付けられることで、プライバシー情報が露呈する可能性を指摘してます。例として『ハッカーがSNSとブログのデータによって割り出されて逮捕』された事例をあげています。かつて利用したサイトに写真が掲載されていて、その写真に位置情報が残っていたために人物の特定に繋がったそうです。
他にも、名札や、レシートに入力されている担当者名からSNSのアカウントを特定できるケースや、入社試験でSNSなどのインターネット上にあるデータを参照される可能性があるとしています。
SNSポリシーの変更
多くのSNSはデフォルトで公開を求められるものが増える傾向にあり、その中には利用者への通知がされずに公開されるものもあるとしています。SNSを利用する際に、こうしたポリシーの変更についても注意していく必要性があることを説いています。
マルウェア感染や詐欺行為のプラットフォームとしての利用
SOPHOSの『セキュリティ脅威レポート2012』では、2012年の新しいトレンドに『ソーシャルメディアとWeb』に対する攻撃が増加すると予測しています。
SNSは友達を通じて情報が共有されるため、共有された情報は信頼性があります。一般的なスパムと比較すると、騙されてる確率が高くなります。このことから、G Data SoftwareのEddy Willems氏が「SNSでのウィルス感染の危険度はメールより10倍も高い」と発言しています。
また、短縮URLや画像のリンク、画像に仕込まれたウィルスなど、SNSの特徴を活かした攻撃が可能であることも、マルウェアを感染させるために悪用されるとしています。
偽アカウント・アカウントの乗っ取り
SOPHOSのGraham Cluley氏が公表した資料によると、Facebookでは『1日60万件の不正なログインが行われている』としています。また、同資料を分析したTechCrunchの記事には下記のようにあります。
Facebook上で共有されるコンテンツのうち、スパムは4%未満(メールは89.1%がスパム)
Facebookのユーザでスパムを経験する人は1日の全ユーザ数の5%未満
1日にログインするユーザ数はFacebookの7億5000万あまりのユーザの50%(今は8億じゃなかった? 古いインフォグラフィックなのね)
一人のユーザのフレンド数は平均130人
Facebook上のユーザの1か月の総滞留時間は7000億分
一方で、アカウントを所持していない場合にも別の問題が起きる可能性があることを指摘しています。ここでは、鳩山一郎元首相のTwitter偽アカウント問題が挙げられています。
不適切な発言・行為
不適切な発言や行為を発端とする、いわゆる炎上事件はSNSに限ったものではありませんが、SNSでもよく発生しています。Naverまとめの『炎上事例まとめ』では多くの事例が紹介されているので、一読するとよいでしょう。
この炎上事例には、個人だけではなく、企業のSNSやサイトなどが炎上した事例も多くあります。これらを防ぐためのアプローチを紹介する記事として、下記サイトがあげられています。
「炎上」させないための「べからず集」:http://marketingis.jp/archives/1938
SNSを安全に歩くための10項目
危険性を指摘しつつも、SNSの利用は今後も拡大される可能性が高いとしています。この報告書では、SNSを危険から身を守る手段として、10項目が挙げられています。
1. 常に公開・引用・記録されることを意識して利用する
2. 複雑なパスワードを利用し、セキュリティを高める設定を利用する
3. 公開範囲を設定し、不必要な露出を避ける
4. 知らない人とむやみに“友達”にならない、知っている人でも真正の確認をする
5. “友達”に迷惑をかけない設定を行う
6. “友達”から削除は慎重に、制限リストなどの利用も考慮する
7. 写真の位置情報やチェックインなど、技術的なリスクを理解し正しく利用する
8. むやみに“友達”のタグ付けや投稿を行わない
9. 対策ソフトを利用し、危険なサイトを利用するリスクを低減する
10. 企業などの組織においては、SNSガイドラインを策定し遵守するSNSを安全に歩くための10項目:JNSA SNSセキュリティWGより
これからも、多くの人が活用するであろうSNSを、便利に、そして安全に使うために、考えていきたいですね。
