Share :
2018-07-09

「デジタルシャドー」が重大なサイバーリスクになる恐れ

skull

AUTHOR

Kumar Ritesh

「世界の軍事基地や諜報機関で働く活動員の情報が、簡単に外部から収集できる」このような調査レポートが約ひと月前に公開され物議をかもしています。この調査レポートはフィットネスアプリ「Polar Flow」の情報公開機能のバグに起因しています。

フィットネスアプリはいまや日本国内でも多くの人が活用していますが、使い方を誤ると、その人の日常的な行動が簡単に把握できるだけでなく、勤務先の場所や内部のレイアウト、一緒に働いている同僚や親しい交友関係まで、すべて特定できる危険性があります。

またそれらの情報がさらにSNSと連携していれば、嗜好や感情までも第三者に理解され、悪用される懸念があります。 企業内で機密性の高い情報や設備を取り扱っている方や取引先の内部でお仕事をされている方もいらっしゃることと思いますので、是非ご一読ください。

便利なツールを活用することは、我々の生活において必要不可欠なことですが、同時に抱えるリスクも十分理解しておくべきですね。

+++++++++++++++++++++++++++++++++

現在、GDPR(EU一般データ保護規則)に関連して、企業が収集した個人データをどのように保護すべきかが議論されており、大きな注目を集めています。ところが、これよりさらに重大なリスクを私たち全員が抱えている可能性があります。それは、行動データの保護の欠如というリスクです。私たちの行動データが含まれた「デジタルシャドー」は、ハッカーにとっては宝の山であり、アクセスされ、悪用されてしまう可能性を秘めています。行動データには、日常の行動の多くが含まれます。どのようにネットワーク上でふるまい、対処し、反応するかということから、何を使用し、この物理的にどこにいるかということまで、私たちが手にした日用品、ウェアラブル機器、他のデジタル機器やシステムを介して収集されてしまうのです。

ウェアラブル機器、追跡アプリケーション、ネット接続可能な家電製品は増え続けており、私たちの生活を便利で快適なものにしています。スマートフォン、ノート型パソコン、エアコン、フィットネストラッカー、ウェアラブルヘルスモニター、ホームセキュリティソリューション、自動車が、今や行動データの宝庫と化しているのです。これらの機器は、サービスを改良、向上して生活を快適にするという理想を目指し、一日中、私たちのすべての行動に関する情報を収集しています。

「デジタルシャドー」は、個人に関する情報、写真、趣味、社会的選好、購買習慣、行きたい場所、ソーシャルマップ、行動予定表などに限りません。今や、身体や心のあらゆる状態まで「デジタルシャドー」に含まれるのです。私たちが家族や社会や地域とどう関わっているか、今も絶えず追跡され、監視されています。どのようなことで怒ったり喜んだりするか、何をいつ食べるか、照明や室温の好み、いつどのように起床、就寝、運動するかということも対象になります。話をする相手、話をする理由、よく使う交通手段、移動速度、室温の好み、室内の照明、読書習慣、さらにはストレス、悲しみ、幸せなどの異なる感情を抱いたときに心拍数や身体がどのように反応するかということも含まれるのです。

「デジタルシャドー」の作成、保存、利用は、今後ますますハッカーにとって魅力的な標的となっていくでしょう。この種のデータがあれば、サイバー攻撃の標的となる個人のプロファイリングの精度を大幅に高めることが可能になります。テクノロジーは私たちの生活を快適にしますが、その反面、脅威アクターが私たちのあらゆる行動をより正確に予測可能になるという、思いがけない結果を招いているのです。

これはとても気がかりな問題です。

このリスクによって今後どうなってしまうのか。サイバー犯罪者は、攻撃をしやすい標的を簡単に探し出すでしょう。その標的は、おそらく本人の意志に関係なく仲介者(踏み台)として利用され、数々の違法で悪質な目的のため、真の狙いとする企業や政府のシステムやデータに侵入し、アクセスすることになるのです。サイバー攻撃は、企業のIT資産や財務データだけを標的にするのではなく、今後ますます、このような行動データを標的にしていくと見込まれます。それは、消費者向けテクノロジーが私たちの生活により深く関わりを持つようになってきているからです。

ネット接続が欠かせない生活の中で、このような不吉な兆しが現れていますが、セキュリティ上の危険を回避するために進化を止めようとするのは非現実的です。規制当局は、業務で収集された消費者データの保護をより厳格にする問題にすでに取り組んでいます。今後はさらに、個人の行動データに関する収集、分類、保存方法、送信方法を規制し、管理する方法を検討する必要があるでしょう。私たちは、デジタルデータが飛び交う世界を避けて通ることはできないのです。

消費者にも、自身の「デジタルシャドー」の範囲を把握するという重要な役割があります。ネット接続された機器がどのように機能し、どのような情報を収集し、その情報がどのように利用されると悪意のあるハッカーから攻撃を受けやすくなってしまうのか、このことを私たち全員が認識して学ぶ必要があります。これは個人的責任です。今でもまだ多くの人が、日々使っている電子機器を介して、個人情報がどれほどの範囲まで収集されているか十分に理解していないのです。

この問題への包括的な取り組みにおいて、最後に忘れてならないのがテクノロジーそのものの供給元です。メーカーも、制作および販売しているものへの責任を負わなければなりません。メーカーが従来の個人データ保護の問題に取り組んでいることからもわかるように、メーカーには消費者を保護するという重要な役割があるのです。同時に、行動データを収集する企業は、この収集したデータの危険性を理解し、データを入手または利用する際には、法に従ってセキュリティ管理が適切に実施されることを保証する必要があります。

規制当局、消費者、企業が一体となって「デジタルシャドー」の問題に取り組むにはまだ長い道のりがありますが、すぐに取りかかる必要があります。

お問い合わせ