情報漏えいのプリテキスティング・その2
前回の情報漏えいめぐるHPの内部調査その2である。
この問題の注目度の高さがうかがえるように、連日のように動きが活発になってきた・・・
実際の詳細は当局が調べるのだから、私なんかはコメントのしようがない。
しかし、ここから学べることが多数あることだけは海外だから、日本だから、ってのは関係なく、知っておきたいことだ。
HPのプリテキスティング問題:米司法省と下院委員会も調査に乗り出す :CNET Japanより
プリテキスティングとは、企業をだまして消費者に関する記録を開示させる手法だ。HPは、同社の調査員が同社の複数の取締役とCNET News.comの3人の記者を含む9人の記者の個人的な通話記録を取得したことを明らかにしている。
HPはSECに提出した文書の中で、メディアへの情報漏えいの調査で論議を呼んでいるデータ収集法を使用したことを認めている。
「当委員会はこの情報に大変困惑している。特に、米国を代表する企業の1社であるHPが、プリテキスティングやデータブローカーを使って同社の取締役やその他の個人の個人的な通話記録を、本人に告知することなく、あるいは同意を得ることなく、入手したとなればなおさらだ」
当たり前のこととして、国によっては多少の法的な違いや、習慣の差があったとしても・・・
1.違法行為
2.情報漏えい
3.身分詐称のなりすまし
これらは万国共通の やってはイケナイ ことだ。
決して偉そうなことを言うつもりもなく、道徳的にどうこうとか、倫理的にどうこうとか、言うつもりもない。
情報漏洩を意図的にした場合は、情報コントロール(情報操作)になり、様々な制御が意図したようにコントロール出来る。
例えば、わざと違う情報や限定された情報を特定の人に流す場合などである。
これがどんな結果を生むかは、筒抜けな場合などは簡単に穴がわかる。
コントロールをする場合には、情報心理戦に持ち込まれると私の知る限り、それなりの回避は簡単なことではない。
情報心理戦は戦争でも使われる手法で、一般的ではない感じがするかもしれないが、実は身近なところでもあることの1つだ。
なりすましなどのソーシャルエンジニアリング手法は、相手を如何に信用させることができるかが、最大のポイントになる。
例えば、男性であれば飲み屋に行くと、ちょっとだけ普段の自分でなくなったり、女性受けするために独身になったり、若く見える人であれば歳を誤魔化すだろう。逆であれば今どきはないかもしれないが、高校生が成人映画を見に行くようなもの。最近では映画館に行かなくても見れるが。。。(笑)
女性であれば、やはり歳を誤魔化すことはよくするだろう。アンケートや定期券の年齢を若干少なくしたりする。偽物のブランドを持つのも自分は偽物と知ってるが、相手に良く見せるための1つの方法、と言うか高いものを持った感じになる気分的なもの。
こんな事で相手を騙すことが出来るだろうか?
単体では無理かもしれないが、これらの細かい積み重ねでは洗練されたなりすましが出来る。
最もわかりやすい事としては、人は制服に弱いので、警察官のような感じであれば、見ただけで勝手に解釈する。実際に警備員などの制服が似ているのはこんな部分だったりもする。
社内にヤクルトのお姉さんが、あの格好であのバックやカートを引いていれば、誰もが疑わない。それだけ有名なイメージしやすい格好は、相手が勝手にそう思うのだ。
ちなみにヤクルトは、個人的に好きである(笑)
見た目の部分だけでも、それが可能になる。
なりすますには、他にも電話などの会話等も有効である。
如何に相手を信用させるかの話術である。この話術と言うと難しい感じがするかもしれないが、夜の帝王になる瞬間に誰もが話術の天才になっているだろう。
目に見える情報漏洩は、漏れちゃった後に判明することが圧倒的に多い。
これは、漏れてはじめて解ること。
目に見えない漏洩は、知らずに起こしてしまったことで表面化されないことや、トラップと知らずにまったく普通に起きている。
これらは見える形で漏洩すれば、その概要もわかるが、漏れた事すら気づかない場合はまったく追いかけようがない。
自らが、なりすましの出来るだけのスキルを身につける事で、相手の動きも解るのだ。
敵を知ることが、一番の防衛になるのは、こういう部分だ。
しかし、なりすましのスキルを悪用すれば・・・それなりの制裁があることは言うまでもない。
| 固定リンク
コメント