ソーシャルメディアの脅威、SNSの危険性とは？

SNSは日常生活でのできごと、写真やビデオをシェアすることで人びとをつなぐツールです。ところが、むやみやたらとシェアしたり、偽アカウントへの警戒を怠ったりすると、仕事やプライベートで使用するアカウントが危険にさらされてしまいます。

攻撃者は、ソーシャルエンジニアリングやフィッシング攻撃を仕掛ける前の偵察段階で、SNSアカウントを悪用することがよくあります。攻撃者がSNSのプラットフォームと情報を悪用することで、ソーシャルエンジニアリングやフィッシングを含む攻撃のために「信頼のある人物やブランドへのなりすまし」または「ウソの情報を配信する」ことができます。

どのSNSプラットフォームを標的にするかによって、攻撃者の手口は異なります。Facebookでは、画像やコメントを非公開に設定できます。そのため攻撃者は標的の投稿にアクセスするために、ターゲットの友達の「友達」になるか、直接、友達申請を送ります。攻撃者が標的の友達数人と「友達」になれれば、標的が「共通の友人の人数」を見て、友達申請を承認する可能性が高まります。

LinkedInアカウントも、よく標的にされます。 LinkedInはビジネス目的のSNSとして有名です。利用者のつながりは、同僚や同じ企業組織の従業員で構成されていることがほとんどです。攻撃者が企業を標的にしている場合、LinkedInこそが、フィッシング攻撃に向けてビジネス用のメールアドレスを収集するのに最適なSNSサイトです。大企業では、従業員のリストや役職名をSNS上に掲げ、公表している従業員を何人か見つけることができます。攻撃者は、このような情報から財務情報や非公開の顧客データにアクセスできる、高いアクセス権限を持つ従業員を見つけ出します。

攻撃者がSNSで偵察する際の目的は、データを盗み取るための情報収集だけではありません。SNSで公開されている情報は、事業者になりすましたり、パスワードのヒントとして悪用される可能性があります。ほとんどのオンラインアカウントでは、パスワードをリセットする場合に、秘密の質問への答えを入力します。SNSの投稿をもとに十分な情報を手に入ることができた攻撃者は、標的の投稿にあるプライベートな情報にもとづいてセキュリティ質問への答えを予測します。ブランドになりすます行為もSNSによる脅威の一つです。情報を十分に収集し終えた攻撃者は、ビジネスブランドになりすことで、利用者をだまして送金させたり、個人情報の流出を招き、利用者の認証情報を入手します。攻撃者が同様の脅威において悪用するのは、クロスサイトスクリプティング (XSS) やクロスサイトリクエストフォージェリ (CSRF) による攻撃です。この種の攻撃により、攻撃者はさらに大規模な情報漏えいやビジネスインフラへの攻撃を引き起こします。

ユーザーの投稿が公開されているSNSプラットフォームでは、攻撃者はその利用者に気づかれることなく、密かに情報収集することが可能です。攻撃者の中には、標的やその友達にコンタクトを取って、情報をさらに得ようと試みる者もいます。

ソーシャルメディア脅威の手口は、攻撃者の目的によって異なります。

大金を手に入れようと企む攻撃者にとって、金銭が得られる手っ取り早い方法は、企業をターゲットにすることです。そのため攻撃者は、LinkedInを最初に閲覧し、標的をリスト化することもあります。だまされて企業のデータを送信するか、フィッシング攻撃に引っ掛かりアカウントの認証情報を攻撃者に流出してしまうような、企業の役職者や一般社員が標的になります。

標的リストにもとづいて、攻撃者はSNSアカウントに投稿されている個人情報を調べます。この個人情報の収集は、ソーシャルエンジニアリングで標的の信頼を得るのに役立ちます。アカウントを乗っ取るときには、セキュリティ質問への答えを探るために、この個人情報を利用します。また、高い権限を持つ人物に近づく際にも、収集した情報を活用します。パスワードをリセットする場合に、ペットの名前や応援しているスポーツチーム、学歴はすべて、ユーザーIDを認証するためのパスワードや秘密の答えの手がかりになります。

すべての情報を収集し終わった攻撃者にとって次の段階は、攻撃を仕掛けることです。攻撃者は以下に挙げるような手口を使います。

• ソーシャルエンジニアリング： 攻撃者が従業員に連絡をして、私的情報を送信させたり、認証情報を聞き出し、送金するようにだましたります。手の込んだ攻撃では、攻撃者は標的をだまして自身の口座に送金させるために、役職者になりすまします。
• フィッシング詐欺： SNSの情報を活用してメールの送信者になりすまし、相手にリンクをクリックさせ、攻撃者に私的情報を送信するように仕向ける詐欺です。高い権限を持つ役職者になりすますことで、メールの受信者は、送金したり、悪質なリンクをクリックしたりするか、機微情報を送信してしまいます。
• ブランドへのなりすまし： 攻撃者はブランドの従業員を語り、正規ブランドからのメッセージだと思わせ顧客をだまします。この「なりすまし」は、個人情報やアカウントの認証情報の漏えい原因となる手口です。
• サイトへの不正アクセスと情報窃盗： 多くの情報をSNSから集めることで、攻撃者は特定の企業をターゲットにしたマルウェアを作成します。または、情報を気づかれることなく抽出できるよう内部ネットワークへのアクセスを可能にする攻撃を仕掛けます。
• マルウェアの拡散： ブランドのなりすましと同様に、攻撃者は正規のビジネス主体に見えるようなドメインやWebサイトを作成して、利用者にマルウェアをダウンロードさせたり、認証情報を聞き出したりするのに活用します。
• 情報漏えい： アカウントの認証情報を手に入れた攻撃者は、標的企業の大規模な情報漏えいを引き起こす可能性があります。

インターネット上には複数のSNSプラットフォームがあるため、攻撃者はさまざまな手口を用いて、ソーシャルエンジニアリングやフィッシング攻撃を実行できます。SNSをはじめとするソーシャルメディア脅威に対抗する、万能な解決策はありません。ただしSNSで行われる攻撃者の基本的な偵察や調査はどれも同じです。SNSアカウントの公開情報は、プライベートか仕事かに関わらず、さらなる攻撃に悪用される可能性があることに注意する必要があります。

SNSによる脅威のほとんどが、プライベートや仕事関連の情報を公開しすぎた関係者から発生します。企業にはそのような個人のSNSアカウントでの言動を、止めることはできません。ただし、データや認証情報の流出を防ぐために、社内のSNS利用者を教育する方法があります。

つまり、SNS由来の脅威を防ぐポイントは、社内教育です。個人は自分自身で学ぶことができます。そのため企業側は、従業員がソーシャルエンジニアリングやフィッシング攻撃を見抜き、自分で被害を防げるようなる、トレーニングプログラムを導入すべきです。最初のステップは、情報を過度にオンラインで公開することの危険性についてSNSの利用者を教育することです。SNSアカウントを非公開設定にしていたとしても、攻撃者がプライベートな発信にアクセスする機会を一度でも持つことで、攻撃に悪用される可能性があります。利用者は自分自身のSNSアカウントに、私的な企業情報やアカウントが乗っ取られる可能性のある情報を投稿してはなりません。

モバイルデバイスを支給し、SNSアプリのインストールを許可している企業もあります。そのような企業は、社用デバイスからの投稿を許可するユーザーを定め、利用の許容範囲に関するポリシーを規定すべきです。企業のSNSアカウントがハッキングされるのを防ぐためには、マルウェアからデバイスを守ることも極めて重要です。担当者が社用デバイスを紛失したり盗まれたりしたときに備えて、データを削除（リモートワイプ）できるソフトウェアのインストールを済ませておくことも必要です。

そのほか社内教育には、次のポイントがあります。

• 社用デバイスでは、広告ブロック機能を利用します。広告をブロックすることが不可能な場合は、広告をクリックしないよう社内の担当者に指示してください。特にコンテンツを閲覧するためにソフトウェアをダウンロードするように誘導するポップアップはクリックしてはいけません。
• 従業員間でパスワードを共用しないでください。(同部署内でも、個々のパスワードが必要です。)
• 攻撃者が不安や緊急性のある支払いの悪用することを知ることで、従業員がその手口に疑いを持てるようにします。急いで行動するよう促すメッセージやSNSへの投稿は無視しなければなりません。
• 知らない人からの友達申請は、「共通の友達」が数人いたとしても承認しないでください。
• 公共のWi-Fiホットスポットでは、SNSの利用は避けましょう。公共Wi-Fiは中間者攻撃 (MitM) において攻撃者が情報を盗み見る場所の一つです。
• 定期的にユーザーアカウントのパスワードを変えてください。さらにプライベートで利用している自分のSNSアカウントでもパスワードの変更をしておくことを推奨します。

IT担当者は、いかなる攻撃からも被害者を出さないために、サイバーセキュリティによる防御を実装すべきです。メールサーバーでは、悪質なリンクや添付を含む、怪しいメールを食い止める人工知能アプリケーションが利用できます。

怪しいメールを隔離したら、企業がターゲットになっていないか確かめるため、管理者が精査します。Web分離もまた、従業員にインターネットの閲覧を許可する企業にとってはセキュリティ強化の選択肢の一つです。このような技術は、従業員に自由にインターネットを閲覧できる環境を提供しつつも、個人的なインターネット利用でのダウンロードやアップロード、フォームへの入力を妨げる安全なコンテナ内に範囲を限定することができ、脅威を寄せ付けません。