10.jpg

コラム

SNSアカウント ~その3~

Posted by GRCS | 2018/12/03 10:51:31

セキュリティ・エグゼクティブ・ディレクター 中島浩光

 

さて、SNSアカウントに関する3回目です。今回は、前回のコラムで書いたセキュリティ事故のSNSの運営側の対策について書いてみようかと思います。

<防止不可能?>
さて、前回のコラムでSNSアカウントについてのセキュリティ事故として以下の4つを上げました。

①アカウントの乗っ取り
②偽アカウント
③架空アカウント
④捨てアカウント

さて、これらのセキュリティ事故のうち、②③④の発生を防止することは実は非常に困難というか、ほぼ不可能になります。
というのは、ほぼ全てのSNSサイトにおいては新規のアカウント登録において②③④を見抜くことはできません。唯一、芸能人等の「公式アカウント」の場合には、そのアカウントと似たような非公式なアカウントを他の誰かが作ることは不可能ではないのです。
また、セキュリティ事故の形として、アカウントを使ったSNS上での不適切/不正な利用の仕方(もしくは、不正な利用を目的としたアカウントの作成)になりますので、非常に難しいのです。
そのため、②③④のセキュリティ事故については、該当するようなアカウントの「活動(投稿)」を監視し、そこから不適切・不正な利用を発見・運営側への連絡、アカウントの凍結実施、という流れになります。
そのため、SNS上の「活動(投稿)」の監視として、不適切な単語の検知の仕組み、不適切な画像の検知の仕組み、利用者から不適切な投稿の連絡方法の提供、連絡の内容の検証、アカウント凍結などの業務の整備などを運営側で行う必要があります。
しかし、「ある活動が不適切/不正である」か?というのは、機械的に判定できるものではないため、非常に難しい問題であり、このあたりの対応をどうするか?は運営側にとっても非常に難しい問題になります。
しかし、これを放置することはSNSの評判に関わるため、SNSの運営側としても頭の痛いところになります。

さて、では、①「アカウントの乗っ取り」は防げるのでしょうか?

<防ぐ方法はある>
「アカウントが乗っ取られた状態」とはどんな状態であるか?ですが、これは、「SNS上のアカウント」と「正当な利用者」の間の繋がり(リンク)があり、それによって「アカウントを利用する権利」があるのですが、乗っ取られた状態というのは「正当な利用者」にではなく「不正な(正当でない)利用者」にリンクしてしまった状態なわけです。
この乗っ取られた状態になることを防ぐために、SNSアカウントを利用する際に「認証」といわれる本人確認を行い、利用者が当該SNSアカウントの「正当な利用者」であるかを確認した後に利用できるようにしています。
したがって、「認証」を100%確実に行う事ができればアカウントの乗っ取りは防ぐことができます。しかし、「認証」を100%確実に行う事は非常に難しいのです。
認証の一般的な方法はパスワードです。SNSアカウントの利用時に「正当な利用者しか知らない文字列」をSNS側に入力することで、確認を行います。銀行のキャッシュカードの暗証番号もこれにあたります。このパスワードについては、「正当な利用者しか知らない文字列」が他人に推測可能であったり、簡単な文字列であったりすると、不正な利用者がそのパスワード入力を行うと、乗っ取られてしまうのです。そのため、パスワードの文字列は「長くて、複雑で、できれば無意味(っぽい)」であることが望ましいため、運営側で文字列の長さ等を強制することは可能なのですが、そういったパスワードは利用者にとって「憶えにくい」ため、「パスワードが思い出せなくてSNSが利用されなくなる」といったデメリットが運営側にあり、運営側がパスワードの複雑さを強制できない状態になっています(セキュリティの強度と利用者の利便性のトレードオフの例ですね)。
また、SNSのアカウントが複数あるということは、パスワードも複数あるわけで、多くの利用者が同じパスワードを使いまわすという状況が発生しています。そのため、どこかでパスワードが漏えいしてしまった場合に、そのパスワードが使いまわされているSNSアカウントを利用されてしまうことがあったりします。
そういったことから、「アカウントの乗っ取り」を100%(に近い状態で)防ぐためには、「利用者全員が長くて複雑なパスワードを使いまわさず、SNSのアカウントの数だけ全部覚える」という、運営側にとっては利用者への他力本願な状態にあります。
そのため、運営側は「アカウントの乗っ取り」を「パスワード以外でいかに防ぐか」「いかに発見するか」「いかに元に戻すか」を考えるわけです。

<予想以上に長くなってしまった・・・>
本当は、今回でSNSアカウントに関する話は終わりにしようと思っていたのですが、アカウント乗っ取りの対策に関してはいろいろあったりするので、そのあたりは次回に書かせて頂こうと思います。 

Topics: コラム

Written by GRCS

コラム一覧