最近、サイバー攻撃についてのニュースをよく耳にします。Google、Facebookやアップルといった企業が、サイバー攻撃を仕掛けれらたことが大きく話題になっていました。
そんなニュースを目にして、アメリカの企業だし、超有名企業だし、という感じで対岸の火事だと思っていませんか?当然ながら、日本企業なら大丈夫ということもありませんし、セキュリティについて考えなくていいと思う根拠なんてありません。
取り分け、IDとパスワードで手軽にログインできるSNSアカウントを運用している場合、その手軽さゆえのリスクもあります。今回はそういった時流を受けて、ソーシャルアカウントのセキュリティリスクについて考えてみたいと思います。
実際に起きているこんな事例
セキュリティリスクを考えるにあたって実際のケースを探してみると、Twitterアカウントに関連するものがいくつも出てきます。TwitterはIDとパスワードさえ分かれば、利用できてしまうという簡便な仕組みに起因していると考えられます。実際の事例を紐解くと、次の2パターンがとても多いようです。
■企業アカウント乗っ取り
まず真っ先に挙げられるのが、アカウントの乗っ取りです。乗っ取りの方法は簡単で、Twitterで使用しているID/パスワードを第3者が入手することで、ログインし掌握できてしまいます。そして、ログイン後にパスワードを変更してしまえば、元の管理者を締め出すことも可能です。
ID/パスワードを第3者が入手できてしまう原因として色々ありますが、パスワードをとても分かりやすいものにしていて簡単に類推できるものだったり、外部からアクセスできる場所に保存していたりというのが考えられます。また、明らかに意思を持って盗もうとするケースでは、Twiiter連携アプリを装った悪意のあるサイトを作り上げ、アプリ認証をすると見せかけてID/パスワードを入力させるというやり方です。これは、企業だけでなく個人をも標的としています。
実際に先週、米国「バーガーキング」のTwitterアカウントが乗っ取られて、「マクドナルドに売却された」とツイートされたことがニュースになりました。
また、自動車ブランド「ジープ」も同時期に、「キャデラック」関連の写真に差し替えられ、悪意のあるツイートをされていました。
■企業名を偽った“なりすまし”
もう一つ、アカウントを乗っ取るのではなく、具体的な企業名を名乗る“なりすまし”もあります。まだアカウントを持っていない企業やブランドの名前で、いかにも公式っぽいアカウントを作成して情報発信をするのです。実際のケースでは、すでにあるアカウントに似せてアカウントを立ち上げ、ツイートを行うというケースもあります。これは、ID/パスワードを盗もうとする行為に比べ、非常に原始的な手段と言えます。当然ながら、企業名を掲げながら不適切な発言を繰り返したり、ありもしない情報を流されたりしてしまうのは、なりすまされた企業にとっては深刻な問題です。
記憶に新しいのは、家電量販店「ヤマダ電機」のアカウントなりすましです。公式アカウントは「yamada_official」、偽物のアカウントは「yamada_officiaI」。違いは分かりましたか?そうです、最期の「l(小文字のエル)」が、偽物の方は「I(大文字のアイ)」になっているのです。
この偽アカウントでは、ありもしない割引情報をツイートしたり、不適切な内容のツイートを行っていました。現在は偽アカウントは凍結されて、閲覧することはできません。また、公式のアカウント自体もオープンになっておらずカギ付きの状態になっています。
すぐに取れる対応を講じよう
では、こうしたリスクを回避するために、すぐにできる対策を考えてみましょう。もちろん、これからご紹介する方法は万全な対策ではありませんが、やっておいて損はありません。
①自社名でのアカウント検索
まず、検索機能を使って、自社の名前や製品を名乗ったアカウントがないか調べてみましょう。製品が好きな方が作ったファンアカウントも存在しますので、名前で該当するアカウント全てが“なりすまし”という訳ではありません。もし、公式を名乗る偽物を発見してしまった場合には、サービスの運営会社に連絡して対応をお願いしましょう。
②パスワードの定期的な変更
意外に忘れがちなのが、ログイン用パスワードの変更です。複数人で管理していたり外部に委託している企業ですと、変更後の関係者への周知が面倒なためにずっと変えていないことがとても多いようです。もちろん、変更したとしても、会社の創業記念日や製品の発売日など、簡単に類推できてしまうものはNGです。一般的にパスワードとして推奨されるのは、文字数は6文字以上、英数混在で英文字の大文字小文字を含んだものがいいと言われています。この要件を満たしたパスワードを、3ヶ月に1回くらいは変えるのが望ましいと思います。
当然ですが、変更したパスワードを付箋などに書いて、人目につきやすいところに貼っておくのは止めましょう。
③公式サイト(外部サイト)からの公式リンク
3番目は上2つとは逆に、今のアカウントがオフィシャルのものであることをきちんと明示するということです。アカウント名やプロフィール文の中に「公式」であることを記載することは最低限として、自社のサイトにソーシャルアカウントの紹介やリンクを設置することで、公式なものであること表明することが重要だと思われます。
公式サイト上に何もアナウンスされていない場合、ユーザーにとっては「ホントに公式アカウントなの?」という疑念が生まれるかもしれません。そういった疑念を少しでもつぶしておいた方がいいでしょう。
このように、ソーシャルアカウントの周辺には、いくつかのリスクが存在しています。当然、自社サイトであれば、サーバーのセキュリティなど対策の取り方もいろいろと考えられます。しかし、外部のサービスとなると、あくまでも利用者の立場として取るべき対策に限られています。
こういった話になると、オンラインでの対策だけを考えがちになってしまいますが、実はオフラインでのちょっとしたことが原因というのもよくある話です。情報満載のノートPCを外出先に忘れてしまったり、メールで宛先を間違えて送ってしまったり、少し意識するだけで防ぐことができることも多いです。
まずは、できるところから。パスワードの変更から始めてみませんか?