情報弱者向けビジネスは正義なのか?思うところを雑に書いてみる【二段階認証】
久々のブログ更新。とあるニュース記事を見ていろいろと思う事があったので雑に。
まずはこちらをご覧いただきたい。
ひとつの認証フォームを使うだけだと脆弱性があるから、スマホの電話番号とかを使って二段階で認証させようぜってのが二段階認証。このニュース記事では、そんな二段階認証を偽ったサイトでハッキングを行う手口が確認できる。
要するに、今までは
- 個人情報 → 偽サイト
としてハッキングしていたものが
- 個人情報 → 偽サイト → 本サイト →(認証) →偽サイト
となっている。(厳密にはもっと高度であるが今回は省略)
なんだかしょうもないいたちごっこであるが、言われてみれば対策が難しく、攻撃としては優秀である。特に二段階認証を行う旨のメッセージが正規サイトから送られてくるわけだから、利用者としても信頼してしまうだろう。
この攻撃は誰かの端末をハッキングするわけでもなく、利用者自身に個人情報を記入させる。ぶっちゃけセキュリティソフトでは対策することが困難である。(SSL証明書とかURLでフィルタリングを行う機能もすでに古い)
こういったシステマチックでなく、ユーザの心理を利用した悪意ある攻撃のことをソーシャルエンジニアリング(SE: Social Engineering)と言うが、果たしてこの攻撃を対策することは可能なのか?
僕はSEの研究をしているが、最近これに関して根本的なところから思うところがあったために本ブログ記事を書いた(メモ代わりである)。
まず、SEの被害に遭う人が、自分が被害に遭ったことを認識しない可能性があるということである。世間一般的に、ハッキングは「個人情報流出」といった形で世間に知らされる。しかし個人情報が盗まれたがそれが誰にも知られない場合。個人情報は確かに流出しているのだが、それが本人に気づかれていなければ、被害に遭っているとは言えないだろう(観測されない事象を証明することはできない。悪魔の証明である)。
むしろ、攻撃者が個人情報を不正に取得したうえで、利用者から感謝されるケースもあるのである。
よくあるネットビジネス(情報商材とか)の話でよくあるのが、利用者は傍から見れば明らかに詐欺的な金額で情報を売られているものの、その情報に価値を見出しむしろ売り手に感謝をするらしいのである。実際には対価に見合わない額を払っているものの、情報を取得でき、サポートも受けられるために売り手を訴えることが基本無いのだという。
実はそんな話は身の回りに溢れていて、例えば携帯会社なんかがいい例だ。メールを使えるようにするのに10000円取ったり(Gmailアドレスを取得しスマホから参照できるようにするだけ)、Twitterを利用するために5000円、なんてこともザラである。
ネットにちょっとでも詳しい人から見れば、そんなのぼったくりだというのは一目でわかる。そういうTwitterの投稿もしょっちゅうバズるし話題になる。だが、何も分からないし調べられない人は存在するし、そういうサービスを必要としている人も確かに存在する。
ここでSEの話に戻るが、上記の話を応用させるととんでもなく楽に情報弱者を騙し、ビジネスを成立させることができるのではないか?例えば正規のサービスをラップする形で偽サイトを作成し、その偽サイト上で正規の処理を行えるようにする。そこにちょっと便利な機能も付けちゃったりして。すると、その偽サイトを利用する人は正常に処理が行えちゃうから、全然偽サイトだなんて思わない。むしろ「いいサービスだな」なんて思わせちゃったりできる。でもその一方で攻撃者(偽サイト作成者)は個人情報・機密情報が取得できる。
さてここでひとつの疑問が生じる。
- 攻撃者と被害者(本人は被害者だと気づいていない)はWin-Winの関係にある
攻撃者は欲しい個人情報を取得でき、被害者は便利なサービスを利用できる。
攻撃者が被害者に「あなたの個人情報は盗まれています」なんてことを告げなければ、攻撃されていることなんか気づきようがないし、なんなら「これはいいサービスだ」なんていってどんどん拡散されることもあるだろう。
(個人情報が盗まれたことを脅し文句にして直接金銭の振り込みを要求するような攻撃もモチロン存在する)
話はより複雑である。
悪事を働かせるために正義を行う悪者は正義なのか?悪なのか?
他者を欺いても他者がそれに気づかなければそれは正義になるのか?
逆に、見かけ上の正義を脅かす存在はそれが最終的に正義であっても悪になるのではないか?
例えば。
youtubeから無料で動画をダウンロードできるようなサイトはいくつも存在する。しかし、そのサイトの真の目的は利用者を欺き、金銭的利益をあげることにある(単に広告収入目的の場合もあるが)。それでも利用者はそのサービスをありがたく思う。そのサービスが無くなった時には不満をあげたりもする。
善と悪が逆転している。
何が正義で何が悪かはよくわからない
(※ちびロボのギッチョマンより引用)
話がだいぶそれてしまったが、冒頭に挙げた二段階認証のフェイクサイトの例から、以下のことが言えるだろう。
- もはやネットでは完全に信頼を担保できなくなってしまった
- しかし見かけ上の信頼さえあれば、多くのユーザは騙せる
もとから信頼なぞ微塵もなかったという意見はごもっともである。ハッキングがゼロになった瞬間など一度もないのだから。
二つ目はこれからの社会を生きていくうえで大切な考え方になりそうである。
「人を騙した方がお金は稼げるし、自分の地位も上がっていく。そのような社会で、何を選択するのか?」
少なくとも僕自身はこのような社会に大きな不満を持っている。幸い、直近のSNSの動向なんかを見ていると僕が望む方向に進みつつある気はしている。しかしまだまだだとも思う。
ブロックチェーンなんていう究極的な信頼システムができてもなお、取引所という存在ができてしまった。そしてそれが多くのユーザから求められてしまった。
(無論サービス業を否定するつもりは無いが、何も考えずに利用するユーザのことは批判したい)
本質的な「信頼」と、見せかけ上の「信頼」
いまは見せかけ上の「信頼」の比重がほぼ100%だと考えている。
その比重を少しでも本質的な方へと傾かせたい。
そして、悪意が一切機能しなくなる世界へと変えていきたい。
これが、SEを無くすための対策手法だと考えている。
もしこの記事をみている人がいるのであれば、思考することの大切さは意識してみてほしい(実際にSEは思考しなくなったときに一番被害に遭いやすいというデータが出ている)。
余談だけど、究極的に思考しなくなった時に出る症状が統合失調症だよね。僕も2年前くらいまではそんな状態だったから、こういうテーマに敏感になってるのかもな。