すべてがつながる今日の世界において、多くの人々は、少なくとも 1 つくらいはソーシャルネットワークサービスを利用しています。Facebook(月間のアクティブユーザー数 6 億人以上)や Twitter(アクティブユーザー数 1 億 4,000 万人以上)のようなソーシャルメディア企業は、驚異的な影響力と広がりを見せ、世界中のユーザーとの間でほぼ瞬時のコミュニケーションを実現するコミュニケーションツールとして全世界を網羅しています。そして、ソーシャルメディアはハックティビストにとっても魅力的な場になりました。インターネット上で多くの人が集まり、盛んに議論を展開する場所になっているので、このような場所を乗っ取れば、自身のメッセージを伝える効果的な舞台になるからです。今では、ハックティビストによるデータ侵害がニュースの紙面を賑わせない日はなく、ソーシャルメディアの影響力が狙い撃ちにされています。ソーシャルメディアとハックティビズムとは、それほど相性のいい組み合わせなのでしょうか。その点を読者自身で判断できるように、いくつかの観点から考察してみることにしましょう。
ソーシャルメディアの二面性
ソーシャルメディアがニュースを瞬時に拡散する力は強大であり、正しく有効に使われる可能性が大きいことは明らかですが、世の中の常として、悪用される危険性も秘めています。先日ボストンで起きた惨劇のときも、たちどころにツイートが始まり、人々が求める情報源として、また現場付近に近づかないようにという警告として活用されました。ツイートの多くは、いわゆる「市民ジャーナリスト」から発信されたものでした。事件がまさに進行中であるその場に居合わせ、目撃した生の情報を送り続けたのです。事件の発生後、この惨劇を招いた容疑者の特定に際してもソーシャルメディアは重要な役割を果たしています。法執行機関は市民に情報提供を求め、市民の側もソーシャルメディア各サイトに設けられた公開フォーラムに情報や写真、ビデオを積極的に提供しました。こうして集まった情報は、当局による全容の把握に貢献しています。
今回のような重大事件の容疑者捜査において、市民参加がはっきりと目に見える形で実現したことになりますが、個人が誤って告発されてしまうというマイナス面もありました。これは一部のソーシャルメディアサイトで実際に起きたことであり、特に批判が集中したのが reddit でした。reddit のサイトで、ユーザーが市民ジャーナリストの役割にとどまらず、市民捜査官としての役割まで買って出てしまったのです。ユーザーは同サイトに投稿された情報や写真の検証に乗り出し、この事件について独自の結論を導き出しました。最終的にこれは誤りだったと判明するのですが、誤った情報や申し立てがまたたく間に広まり、ひとり歩きし始めてしまいました。
ソーシャルメディアが持つ力
報道の世界は人々に与える影響がすべてであり、ソーシャルメディアはその影響を受ける膨大な数のユーザーを抱えています。影響力こそがソーシャルメディアを支える根本の概念であり、なかにはユーザーがソーシャルメディア空間に与える影響の強さを測ろうとするサービスもあります。Kloutなどのサービスは、個人の影響力(clout)を測定するアルゴリズムによって、ユーザーが持つ影響力の大きさを測るものです。clout は 1 から 100 までの数字で表され、そのスコアが高いほど影響力は大きいとされています。
報道界は以前からソーシャルメディアの力を認識するようになっていますが、それは人々に対する影響に限らず、情報の収集という観点でも同様です。現在では、ほぼすべての報道機関がソーシャルメディアの存在を利用してニュースを受け取り、また関心のある視聴者に発信しています。Twitter は、即効性の情報源としてデフォルトとも言える選択肢です。ツイートが 140 字に制限されているため、ユーザーは投稿するときに、要点だけに集中して簡潔にまとめるよう心がけています。Twitter ユーザーの多くはモバイルデバイスでサービスを利用しており、モバイルデバイスを一日中携行しているのが当たり前になっているので、情報はすぐに人に届くようになり、再共有されて(リツイート)そのサービスのユーザー全体に拡散されます(いわゆる「バイラル化」)。
実際、Twitter のようなサービスは多くのユーザーに届き、確固たる影響力を持っています。そして、信頼性の高いメディアブランドがソーシャルメディア空間に参入した場合には、その影響力はさらに何倍にもなるのです。特大のニュースがあると、それに続いて何かが起きるという事例も確認されています。大きな災害やテロリストの活動は、株式市場にただちに影響します。たとえば、2001 年 9 月 11 日の直後に株価は大暴落しましたが、これは現在あるようなソーシャルメディアサービスの出現よりも前のことでした。最近では、次に株価の暴落があればツイートされるとも予測されており、ソーシャルメディアが今日果たしている役割を考えれば、これはあながち否定できるものではありません。とすれば、市場を左右するような噂をソーシャルメディアに流して株価を乱高下させる「パンプアンドダンプ」詐欺のような犯罪行為を防ぐ手段はあるのでしょうか。プロの取引システムでさえニュースの見出しを「読ん」で自動的に対応するように設計されている今となっては、これはますます深刻な問題です。
ハックティビズムとソーシャルメディア
ハックティビズムは、最新技術と政治、民衆の力の融合によって進化してきた現代版の政治活動です。旧来の政治活動も続いていますが、政治活動家たちの運動はますますオンラインで展開されるようになってきています。こうした変化にはさまざまな理由が考えられますが、少なくとも、ソーシャルメディアとインターネットが自分たちの掲げる目標の普及にとって強力な道具になると活動家たちが気付いたのは間違いありません。彼らの多くが、Twitter を使って世界中にその声を広げ、活動を組織化しています。
最終的にハックティビストが目指すのは自分たちの大義に耳目を集めることであり、そうなれば当然、影響力の大きい存在が最大の標的になります。信頼性の高いブランドのソーシャルメディアアカウントが絶大な力と影響力を持っている以上、ハックティビストがそうしたアカウントに侵入し、自らの目的のためにその影響力を利用しようとするのは、想像に難くありません。これまですでに、多くの有名人、政治家、企業のソーシャルメディアアカウントが乗っ取られ、偽のメッセージが送信されましたが、その大半は比較的無害なものでした。しかし、もし影響力の大きいアカウントが乗っ取られ、災害やテロ活動について虚偽でありながらも説得力のあるメッセージが広く流れたとしたらどうなるでしょうか。パニックや大混乱の引き金になる危険性は火を見るより明らかです。残念ながら、こうした行為が増えつつある兆しはすでに見られます。
ハックティビストの多くは、政府や大企業の目に余る不正を糾弾することを意図しており、世界規模の問題を対象にしていますが、地域を限定した攻撃も現れてきています。
攻撃者はいかに侵入するか
この数カ月、ハックティビストの活動が増加しています。主に確認されているのは、ソーシャルメディアの正規アカウントに侵入し、サイトの見かけを改変したり、偽のメッセージを投稿したりする行為です。概して、こうしたソーシャルメディアのアカウントの保護には、パスワードベースの認証しか使われていません。攻撃者と、一般のソーシャルメディアユーザーの間を阻んでいるのは、たいして長くもない文字のつながりに過ぎないということです。パスワードの選び方が杜撰なためにパスワードの推測を許してしまうケースもありますが、そうでなくても攻撃者がパスワードを突き止めてアクセスする方法はいろいろとあります。多くのセキュリティシステムでしばしば人間が最大の弱点になっていることは知られているので、ソーシャルエンジニアリングの手法でその弱点を狙うのは理にかなっています。ソーシャルエンジニアリングのタイプで最近見られるのは、フィッシングメールを送信してアクセス情報を狙う攻撃です。本質的にはユーザーのログイン情報を要求するだけですが、それが正規の要求であるかのように見せかけます。たとえば、フィッシングメールにリンクを掲載し、そのリンクからログインしてアカウントを確認するように求める手口です。実際には、そこからパスワードが盗み出されてしまいます。使い古された攻撃手法ですが、それだけに効果的なのです。
もうひとつの抜け穴は、パスワード再発行機能の弱点を悪用するものです。ユーザーにとって便利な機能ではありますが、攻撃者にとっても便利さは変わりません。ユーザーがパスワードを忘れたときの処理方法はさまざまです。なかには、電子メールアドレスを入力するよう求めるだけで、入力すれば新しいパスワードを送信してくるシステムもあります。セキュリティ上の質問が設定されているシステムもありますが、たいていは質問そのものがセキュリティに欠け、出身地や出身校を訪ねる程度です。この種の情報は、インターネット上で比較的簡単に手に入るので、これに加えて、パスワードを使い回すユーザーや、めったにパスワードを変更しないユーザーもいることが攻撃を許す原因になっていることは、容易に想像できます。
万能の盾はない
インターネットと、そこから成立したソーシャルメディアサービスはまさに革命的ですが、その多くは構造上、匿名のメッセージや無責任な投稿を許すものです。たとえば、ソーシャルメディアのアカウントを登録する際には、申請のプロセスで個人情報を入力しますが、このとき実名や本当の連絡先を実際に入力している人はどのくらいいるのでしょうか。たしかに、最近のように有名な大手 Web サイトでこれほどデータ侵害が発生していることを考え合わせれば、虚偽の情報を入力することにも正当性がないわけではありません。しかし、追跡されずにサービスを利用できるその機能が、悪用の温床になっているのです。もし簡単に追跡され、行為の責任を追及されると最初からわかっていたら、そのうえでなお Web 上で悪質な行為を働こうとする人が、果たしているものかどうか考えてみるのも一興でしょう。
ソーシャルメディアのアカウントを保持しているブランドの背後にある潜在的な影響力を考えれば、正規アカウントの所有者やソーシャルメディアサービスのプロバイダについて、こう問わねばなりません。アカウントを保護することは、最大級の優先事項ではないですか、と。誰もが昨今のリスクを認識はしていますが、残念ながらあらゆる悪質な行為を防ぐことのできる万能の盾は存在しません。アカウント保護の責任は、全員が共有すべき責任だということです。ソーシャルメディア産業も、悪用や不正アクセスに対する保護対策をさらに講じられるはずですが、それと同時に、アカウント所有者にできることも少なくはありません。
ソーシャルメディアサービスプロバイダの役割
ソーシャルメディアサイトの側では、アカウントへのログイン失敗が繰り返された場合に、一時的に停止してそれ以上の試行を遅らせることで総当たり攻撃に歯止めをかける、あるいはアカウントをロックして所有者に通知を送るなどの対策が考えられます。一部のサービスでは、サービスへのアクセスに使われた IPアドレスのリストを追跡し、これまでと違う IP アドレスからのアクセスがあった場合には所有者に通知する仕組みも使われています。IP アドレスが異なるのは、アカウントへの侵害が疑われるからです。
ソーシャルメディアサービスのプロバイダは、認証や承認に関連するセキュリティの実装を強化し、個人情報の保管と取り扱いをさらに厳重にするという方法もあります。また、アカウントログインのセキュリティを強化するために、2 要素認証を導入(2FA)する Web サイトも増えてきました。これも必要な措置であり、好ましい傾向ではありますが、まだできることはあるでしょう。メッセージを送信する前に 2 要素認証を求めるのはどうでしょうか。こうすれば、仮にメインアカウントのパスワードが侵害された場合でも、不正なメッセージの送信は防ぐことができます。
あるいは、アクセスレベルの異なる多層アカウントを導入する方法もあります。ソーシャルメディアを利用している企業ユーザーには特に便利かもしれません。企業の全員がメッセージ送信を必要とするわけではないので、ユーザーアクセス制御を管理できれば効果的でしょう。HootSuiteは、ソーシャルメディアアカウントを管理するために詳細なユーザーアクセス制御を提供している一例で、企業ユーザーにとっては便利なアドオンサービスです。登録ユーザーやフォロワーの管理も、検討の余地のある機能です。この点への対応をいくらか進めているという点で興味深いのが、情報を選択的に共有できる、Google のサークルという概念です。要約すれば、問題はこういうことです。ほとんどのソーシャルネットワークサイトのアカウントは、個人を前提として用意されています。個人であれば、自分のアカウントで複数レベルのアクセス制御を必要とすることも、ほしいと思うこともまずありません。そこがブランドや企業とは異なるところです。こうした状況によって、商用あるいはブランド用のアカウントと個人用アカウントとでは、現在の要件マッピングにずれが生じているのです。
ユーザーの役割
ユーザーの側にも、ソーシャルエンジニアリング攻撃についてもっと詳しく理解する、精度の高い保護ソフトウェアを導入する、パスワードの選び方や取り扱いなどセキュリティ習慣を改善する、といった形で改善の余地はまだまだ残されています。たとえば、最近の Ofcom(英国情報通信庁)の報告によれば、英国の成人の半数以上が複数の Web サイトで同じパスワードを使い回しています。このような統計は、世界のほかの国や地域でも同様の傾向が見られ、セキュリティの観点からはまったく推奨されません。ソーシャルメディアのユーザーはぜひセキュリティ意識向上に努めるようお勧めします。この問題に対して技術で解決できるのは、ほんの一部にすぎません。
とある評論家が言ったように、今はまさにソーシャルメディア世界の開拓時代です。言論の自由や個人の自由はもちろん重要ですが、それに伴う責任も忘れてはなりません。最初の質問に戻りましょう。ソーシャルメディアとハックティビズムとは、それほど相性のいい組み合わせなのでしょうか。もちろん答えはノーです。どちらも、もう一方がなくても成立するのですから。ソーシャルメディアはハックティビズムの舞台になるために生まれたのではありません。ハックティビズムに利用されることがなかったら、もっと有益なものになっていたことでしょう。とは言え、ソーシャルメディアはハックティビズムの力を増幅しており、それゆえにハックティビストが活動を展開するためにとりわけ効果的で理想的な手段となっていることは確かです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。