【7月30日 AFP】ソーシャルメディアで人々が共有する情報は、ハッカーがコンピューターに侵入を試みる際に使う「スピアフィッシング」という手口の手助けをしている──インターネットセキュリティーの専門家らが29日、警鐘を鳴らした。

 スピアフィッシングとは、特定の個人に合わせて作成された偽のメッセージを送ることにより、ウイルスが仕込まれたページへのリンクや添付ファイルを開かせるように仕向ける詐欺の手口だ。

 セキュリティー企業トラストウェーブ(Trustwave)のウリセス・アルバカーキ(Ulisses Albuquerque)氏によると、ツイッター(Twitter)やフェイスブック(Facebook)、インスタグラム(Instagram)、フォースクエア(Foursquare)といったオンラインサービス上で公開された投稿は、ハッカーらにとって、人々が書く文章をまねするための材料になるという。

 アルバカーキ氏は米ラスベガス(Las Vegas)で今週開催されているコンピューターセキュリティー会議「ブラックハット(Black Hat)」で、同僚のホアキム・エスピニャーラ(Joaquim Espinhara)氏と共に「オンラインの行動をデジタル指紋として利用して、より優れたスピアフィッシャー(スピアフィッシングを行う人)を作り出す」と題した講演を行う。

■巧妙な手口

 2人は、オンラインでの投稿を分析することにより、人々のコミュニケーション方法の特徴を識別するソフトウエアを開発した。ハッカーは、たとえ企業のコンピューターネットワークに侵入できなかったとしても、従業員の知人を精巧に装った電子メールを書き、添付ファイルやリンクを開かせることによって、悪意のあるコードを送り込むことができる。

「例えば、CEOがツイッターやリンクトインのアカウントを持っていて、私がその投稿を読める状態にあるとする。私は、CEOが書いたように見えるものを作り出して従業員に送ることができ、従業員はリンク先をあまり疑うことなくクリックするだろう」(ウリセス・アルバカーキ氏)

 このソフトウエアは、人々がよりだまされやすいメッセージを作るための要点を「スピアフィッシャー」に提供するものだが、ネットワークの欠点の発見・修復を行う企業や組織で働くセキュリティー専門家といった「倫理的なハッカー」に使ってもらうことが目的だと、アルバカーキ氏は話す。また、特定の人物をかたる投稿が、別の人物によって書かれたものであることを検証するためにも利用できるという。(c)AFP