第31回オリンピック競技大会 (2016/リオデジャネイロ) が開催されています。期間中、世界中のファンがソーシャルメディアに書き込んでいます。オリンピックはまた、多くの企業にとってソーシャルメディアを使ったマーケティングを使用する良いタイミングでもあります。しかし、ソーシャルメディアがそれだけ盛り上がるということは、それを利用しようとするハッカーや詐欺師たちにとってもチャンスであるということを忘れてはいけません。
Proofpointは、ソチ オリンピックでソーシャルメディアを研究した結果から、オリンピックでソーシャルメディアを活用しようとしている組織は、オリンピック期間中、10個のコンテンツ (書き込み、コメントなど) ごとに1つのセキュリティインシデントが起こることを覚悟しなければならないと考えています。
Proofpointは今回のオリンピックに関しても、1300以上のソーシャルメディアアカウントや4000以上のモバイルアプリを分析しました。本ブログでは、分析結果を公開するとともに、企業がソーシャルメディアを使うための注意事項をまとめました。
■ソーシャルメディア、SNS
ソーシャルメディアは、スポンサーやブランド、チーム及び選手が世界中の観客と対話するための重要な場です。オリンピックが近づくにつれ、ブランドや関係者が投稿するオリンピック関連のコンテンツが急激に増えるのは驚きではありません。
図1: オリンピック関連のアカウントが発信するソーシャルメディアコンテンツは開催2ヶ月前に比べ、開催2週間前時点で200%も増加
同じ時期に、悪意を持つ可能性のあるコンテンツは60%増加しました。(図2)
この種のコンテンツには下品な言葉やポルノ、商標侵害、スパムなどが含まれていることが多く、URLが含まれている場合には、侵害が疑われるWebサイトに誘導されることもあります。これらのコンテンツの15%は完全なセキュリティリスクであり、42%は下品なアダルトコンテンツを含んでいました。
図2: ハイリスク、違法あるいはマリシャスなコンテンツが開催前2ヶ月間で60%増加
オリンピックの情報をソーシャルメディアで集めようとしている人々にとって、悪意のあるコンテンツや潜在的な攻撃性を持ったコンテンツだけが高いリスクを持つわけではありません。オリンピック及びそのスポンサーブランドに関連づけられている1310個のソーシャルメディアアカウントを解析した結果、そのうち15%が詐欺的な不正アカウントで、あわせて40万人もの人々がそれらのアカウントをフォローしたり繋がりを持ったりしていました。さらに詳しく見てみると、広い範囲のなりすましアカウントや多くの不正なアカウントが見つかりました。
- 82%がなりすましアカウントで、フォロワーを集め、対話するためにオリンピックやそのスポンサーブランドを不正に使用していました。
- 6%が、オリンピック競技の違法なライブストリーミングを提供していました。
- 6%が、フィッシング攻撃によりフォロワーのクレデンシャル(認証情報)を盗むためにオリンピックの人気を利用していました。
- 4%が、偽の、あるいは非公認のチケット販売を行っていました。
- 3%が、オリンピックサイトを模倣して反オリンピックあるいは反ブラジルのプロパガンダを配信していました。
例えば、図3の不正なWebページに含まれるフィッシングリンクは、ユーザーをだましてログイン情報やクレジットカード情報、その他の重要データを共有させます。他のサイトでは、無料あるいは割引のチケットを販売していますが、実際にはクレジットカード詐欺を行っています。
図3: オリンピックに関連したフィッシングの例
他の例では、攻撃者は大手航空会社のツイッターアカウントを模倣し、悪意あるリンクをオリンピックスポンサーに配信しました。これらのリンクは脆弱なPCに対してマルウェアを配信します。
ソーシャルメディアを通じて配信されるマルウェアは、デスクトップコンピュータだけを狙うわけではありません。私達は約1か月前に、オリンピック関連企業のFacebookページに悪意あるAndroidインストールキットが投稿されたのを発見しました。Proofpointはこのキットの新しいインスタンスを4件検知しましたが、これらはAndroidデバイスを乗っ取り、重要データを盗み出す危険があります。
図4: オリンピック関連のFacebookページに投稿されたモバイルマルウェアへのリンク
■モバイルアプリ
モバイルアプリもまた、攻撃者にとっては標的となり得ます。
ハイリスクな、あるいはマリシャスな行動を示すオリンピックに関連した4000個以上のAndroidアプリと500個以上のiOSアプリを発見しました。その中でも注目すべきは(図5を参照)、ゲームのアップデートを装い、実際にはソーシャルメディアアカウントを乗っ取ることができるプログラムを含み、スマホを接続したデバイスからデータを読みとり、サードパーティの広告ネットワークにデータを送信するものです。
図5: 情報を盗み出す機能を持ち、オリンピックテーマとした悪意あるアプリ
攻撃者達は、休暇、選挙、スポーツイベントなどの多くのメジャーなイベントと同様に、私達がデジタルメディアを通じて興味を示したり楽しんだりすることを利用して一儲けしようとしています。その結果、消費者もブランドも、オリンピックテーマのソーシャルメディアとモバイルアプリの利用について、ことのほか慎重にならざるを得ないのです。
■企業のとるべき対策
ソーシャルメディアを活用したマーケティングプランを立てる前に、以下8つの注意事項をご確認ください。
1. 知識のギャップを埋める
ソーシャルメディアに関連する活動のほとんどは、企業ネットワークの外で起こりますが、IT部門からの可視性は限定的なものです。マーケティング部門と IT部門からの可視性は限定的なものです。マーケティング部門とIT部門は協力して、企業が安全にソーシャル活動を行う必要があります。まずは、正規のソーシャルメディアアカウントと、それがどのようなエンゲージメントを目指しているのかをリストアップして文書化することから始めましょう。そして、ソーシャルリスクに対しての準備と効果の維持について関係者が説明責任を果たせるよう、測定可能な指標を作るのです。
2. 対応プランを作成する
リスク管理チームもしくはセキュリティチームと IT部門が共同で、緊急時の対応プランを作成します。スパムやマルウェアへの対応に加え、ソーシャルメディアのアカウントが乗っ取られた場合や、アカウントへのクラウドからの抗議攻撃についても盛り込まなければなりません。このプランには、スタッフからのエスカレーション手順や、アカウント停止のための条件も事前に設定しておく必要があります。こちらにサンプルプランがありますので、参考にして下さい。
3. 企業ポリシーの更新
古い企業ポリシーを見直して更新するチャンスです。多くの企業は、PeriscopeやInstagramのような新しいタイプのソーシャルネットワークについてのガイドラインをまだ作成していません。アカウントプロフィールに免責条項や情報開示条項などへのリンクを含めるようアップデートする必要があるかどうかといった点です。Intelのポリシーを参考にしてみてください。
4. アカウントの増えすぎに注意
アカウントの無秩序な増加は、偽物の管理されていないアカウントを産み出し、ブランドを傷つけ、顧客体験を損ないます。守るためには、何を守らなければならないのかを知らなければなりません。全てのソーシャルネットワークでの自社のアカウントを見つけ出し、分類し、追跡するための 自動化されたソリューションをお使い下さい。詐欺的なアカウントを排除するために、ソーシャルネットワークを監視しましょう。
5. 2要素認証の導入
Twitter アカウントのセキュリティ設定を強化しましょう。2要素認証を有効にすると、ログインの度に電話による確認を求められるようになります。また、モバイルデバイスからのログイン時には、毎回パスワードを要求するよう設定する必要があります。自動認証を使わないことで、アカウント乗っ取りに対して防御します。
6. 強固なパスワードを使用
ソーシャルアカウントに対するパスワードポリシーも確認してください。個々のソーシャルメディアアカウントに対して、ユニークで強固なパスワードを設定します。パスワードを書き留めることはせず、ほかの誰かと共有することも避けてください。定期的にパスワードを変更するセキュリティガイドライン (60日ごとに変更するなど) は、従うべき行動指針の1つです。
7. 接続アプリを制限
Tweetdeckや Feedientなど、ソーシャルメディアアカウントを運用するためのアプリケーションも、ハッカーがアカウントを乗っ取るためのバックドアとして機能することがあります。使っていないアプリはアカウントとの関連付けを切り、新しいアプリをリンクする際には慎重に行いましょう。
8. 暗号化を利用
ソーシャルメディアを使う際に暗号化設定を有効化しているかどうか、確認しましょう。暗号化は通常、デフォルトでは有効化されていますが、無効化されていないかどうか、念のためにプライバシー設定を確認しておくのが良いでしょう。