BLOG

子供のスマホ利用の危険性 ①

2020.01.03

　近年、インターネットが身近な存在となり、小中学生であっても、ツイッターやLINEといったSNSを使用する機会や、ソーシャルゲームを行う機会が増えてきました。それに合わせて、SNSを使用した犯罪や、子供が勝手にソーシャルゲームに課金するといったトラブルが発生しています。そこで今回は、それらのトラブルから、どのようにお子様を守るのかについてご紹介いたします。

１．SNSによるトラブルの防止

ツイッターやLINEといったSNSは、コミュニケーションを取る上では非常に便利なツールではありますが、その使用方法についてある程度のリテラシーが必要となります。これらのSNSは、仲間内であっても、顔の見えない文字だけのやり取りとなるため、交友関係に悪影響を及ぼすような行動にでることがあるだけでなく、見知らぬ人と簡単に交友を持ててしまうという危険性もあります。
　現実社会であれば、見知らぬ人に声をかけられても大抵は警戒し、逃げることが出来る人であっても、SNSを通じて知り合った人には気を許してしまうことが多々あります。これは、SNSに投稿した自分のツイートやタイムラインに「いいね」という評価をされることで、自己が肯定されたという満足感から、簡単に交友を開始してしまうことが考えられます。そのため、お子様にコミュニケーションツールとしてSNSを許可する場合は、あくまで仲間内での交友にとどめ、見知らぬ他人との交友は禁止しなければなりません。SNSによっては、知人の追加について両親のコントロールが可能なものもありますので、それらの機能を有効に活用すると良いでしょう。

２．ソーシャルゲームの課金防止

子供が勝手にソーシャルゲームに課金し、翌月の請求金額に驚いたという話は、未だによく聞きます。ソーシャルゲームの大半が、基本プレイは無料であるものの、いいキャラや装備を入手するために課金してガチャを引くという行為が必要となり、目的のキャラや装備を入手するためには数千円〜数万円必要となるケースが多くあります。
　このガチャを引きたいがために、子供が勝手に課金してしまうという問題については、子供に課金の権限を与えない事によって防止することができます。スマートフォンのアカウント作成の際に、子供用のアカウントとして登録することで、両親の許可無く、課金やアプリのダウンロードを制限することができますので、この機能を活用することで、子供が勝手に課金することを防止することができます。

総合探偵社ＫＡＹ

「情報銀行」とは？

2019.12.22

　「情報銀行」という言葉をご存知でしょうか？

最近は個人情報の漏洩に関するニュースが頻繁に報道されており、個人情報というものについて皆様が敏感になっている一方で、アメリカのGAFA（Google、Apple、Facebook、Amazon）のように、自らの個人情報のほとんどを預けているとも言える存在の企業があることも事実です。そこで日本においても、GAFAに対抗するため、情報銀行を発足しようという動きがあります。そこで今回は、情報銀行とはなにかについてご紹介します。

１．情報銀行とは
　情報銀行は、２０１８年に総務省が「情報信託機能の認定に係る指針Ver.1」で定義しています。その内容は、「情報銀行（情報利用信用銀行）とは、個人とのデータ活用に関する契約等に基づき、PDS等のシステムを活用して個人のデータを管理するとともに、個人の指示又は予め指定した条件に基づき個人に代わり妥当性を判断の上、データを第三者（他の事業者）に提供する事業。」となっています。
　つまり、ユーザ側と情報銀行が「データ活用に関する契約」等を取り交わすことで、情報銀行が預かる情報を第三者に提供できることとなります。ここでいうPDSとは「Personal Data Store」のことで、「個人が自らパーソナルデータを事業者に与えるかどうか管理できるシステム」のことを指します。つまり、ユーザ側が、どの情報をどの程度与えるかをコントロールすることができるということになります。

２．情報銀行のメリット
　これまで個人情報を第三者に提供するには、個人情報保護法の観点から、様々な課題をクリアする必要がありました。また、ユーザ側にとっては、個人情報を第三者に提供することに対して、自分のコントロールがききにくくなるというデメリットしか存在しませんでした。しかし、情報銀行の登場によって、自分の情報をコントロールしながら第三者に提供することで、便益を受けられるようになります。つまり、自分の個人情報を売買することが出来るということです。
　これまでは、企業に預けるしかできなかった個人情報を売買することができることで、ユーザ側から個人情報を提供するメリットが生じることとなるのです。

　情報銀行には、ユーザ側からみてメリットもある画期的なシステムです。しかし、昨今のサイバー攻撃等の状況を鑑みると、安心して情報銀行に個人情報を預けることが出来るよう、しっかりとセキュリティ体制を構築しなければなりません。また、情報銀行は攻撃者にとってもおいしいターゲットとなり得ますので、今後の動向を注意してみたいと思います。

総合探偵社ＫＡＹ

浮気発見アプリ？「ケルベロス」で出来る事と対策

2019.12.07

Androidで使用できる「ケルベロス」というアプリをご存知でしょうか。

もともとは盗難や紛失時の再発見のために開発されたアプリですが、「浮気」を探るという目的で使用されることもあるアプリです。

そこで、今回はケルベロスで出来ることとその対策について、ご説明します。

１．ケルベロスとは？　

Androidにインストールできるケルベロスは、主に盗難や紛失した際に、再発見できるよう、GPSでの追跡機能など、様々な機能があります。ここでは、主な機能について紹介します。

①GPSによる監視

盗難や紛失したスマホを発見する第一段階として利用するのがGPSによる追跡機能です。もちろん、スマホを見つけることを目的とした機能ですが、これを利用すれば、どこにいる　のかを簡単に追跡することができます。

②カメラ・マイクの利用

ケルベロスを使用することで、カメラを強制的に起動し、周りの風景を確認したり、マイクで録音した内容をメールで送付するという機能もあります。これは、スマホを盗難されたとき、そのスマホがどういう状況にあるのかを確認するために使用できますが、浮気の現場を盗撮・盗聴するといった目的でも使用することができます。

２．「浮気」を発見するために利用できる機能
ケルベロスには、先述した機能の他に、「浮気」を発見するために便利な機能が用意されています。その一つとして、アプリのアイコンを非表示にするという機能があります。いくら「浮気」の調査に便利だからといって、パートナーのスマホにケロベロスをインストールしたとしても、そのアイコンが表示されていれば、パートナーに直ぐにバレてしまいます。しかし、ケルベロスにはアイコンを非表示にする機能がありますので、これを有効にしておけば、気づかれずに監視することができます。

３．ケルベロスを発見するには
アプリのアイコンを非表示にすることができるケルベロスですが、もちろん発見する方法もあります。

スマホの設定画面から「アプリ」をタップするとアプリの一覧が表示されます。ケルベロスは、アイコンは削除できても、この一覧から表示を消すことはできませんので、この画面を見れば、ケルベロスがインストールされているかどうか、発見することができます。

「浮気」の追跡に便利そうに見えるケルベロスですが、パートナーであっても、他人のスマホに勝手にアプリをインストールすることは、不正指令電磁的記録共用罪に違反することになります。また、違法行為で集めた証拠は、証拠として認められないことにも注意が必要です。

総合探偵社ＫＡＹ

App Storeでウイルス発見! 「トロイの木馬」の注意点

2019.11.30

これまで、iPhoneやiPadは、Android端末よりもセキュリティ上で強固であると言われてきました。

その理由は、iPhoneやiPadは、App Storeからしかアプリのダウンロードができないという仕様にあります。

App Storeは、Apple社が管理しており、厳格な審査基準が設けられており、アダルト系のアプリやマルウェアなどのアプリは、App Storeの審査に通らず、結果として、手元のiOS端末にダウンロードされることがありませんでした。

　しかし、これを覆すニュースが2019年10月28日に発表されました。

その内容は、App Store内の17個のアプリからトロイの木馬というマルウェアが発見されたという内容です。では、このトロイの木馬というマルウェアはどのような驚異があるのでしょうか。今回は、App Storeから見つかったトロイの木馬についてご説明します。

１．「トロイの木馬」とは
　トロイの木馬は、ギリシャ神話において、トロイアの町に入り込むために木馬の中に兵を隠した「トロイの木馬」から来ており、マルウェアと呼ばれる好ましくないプログラムを、普通のプログラムに潜り込ませる手法のことを言います。
　今回見つかったトロイの木馬も、表向きは有用なプログラムでありつつも、バックグラウンドで詐欺の広告を表示するためのプログラムが動作しているという、トロイの木馬となっていました。

２．今回の攻撃方法の概要
　今回の攻撃では、該当のアプリをインストールしたユーザが、そのアプリを使用した際に、ユーザの見えないところでC&C（コマンド＆コントロール）サーバという攻撃用のサーバに通信を行い、広告を表示、実行するためのコマンドを受信して、ユーザの気づかないところで広告のクリックスルーを行うというもので、一部において、高額なコンテンツ・サービスを実行させられるという被害がでています。

３．今後の動向

　今回の事例を受け、App Storeにおいては、悪意のあるプログラムの検出ツールを更新したと発表していますが、サイバー攻撃は常に進化し続けており、現在発見されていない新たな手法でApp Storeの審査を通り抜ける悪意あるアプリが出現することが懸念されています。そのため、App Storeからアプリをダウンロードする際においては、本当に必要なアプリなのか、信頼できる提供元なのかを自信で確認した上でダウンロードを行うことで、自分自身のスマホ、タブレット端末を守る必要があります。

総合探偵社ＫＡＹ

パスワード解析２

2019.11.16

前回ブログに引き続き、パスワード解析についてお話したいと思います。

～パスワードを解析する方法～

前回、パスワードは長く・複雑なものをつければ解析されにくいと説明しました。

この説明で想定した解析方法は総当たり攻撃（ブルートフォースアタック）と言われる方法で、すべてのパターンを１つずつ試行する方法での解析時間です。この解析方法が最も時間の係る解析方法ですが、簡単なパスワードであれば、ほんの数秒で突破できるのは、説明したとおりです。この他にも、パスワードの解析方法は様々なものがあります。

①辞書攻撃（ディクショナリアタック）
パスワードを解析する方法のうち、もっとも使用頻度が高いのが、このディクショナリアタックです。辞書に載ってる単語をそのまま使用したり、一部を変換させただけのようなパスワードは、この攻撃ですぐに解析することができます。例えば「P＠ssW0rd」というパスワードを設定したとします。英大文字小文字数字記号が全部含まれており、桁数も８桁なので総当たり攻撃だと数百年かかる強度がありますが、「Password」という単語を有している辞書攻撃であれば、施行する対象は一気に下がりますので、結果として簡単に解析することができるのです。

②リスト攻撃
　最近ではどのサービスを使用するにもパスワードの設定を要求されるため、同じパスワ　ードを使いまわしているユーザが非常に多いのが実態です。そのため、とあるサービスでパスワードが漏洩すると、そのパスワードをリストとして販売している業者が存在します。そのリストを購入してパスワードを解析するのがリスト攻撃と言われる手法です。
　この攻撃は、最近、ハッカーの間で主流になりつつあるパスワードの解析方法で、LINEやSNSだけでなく、様々なサービスがリスト攻撃を受けています。

③ソーシャルエンジニアリング
　ソーシャルエンジニアリングとは、人を介したパスワードの解析方法で、例えば、何らかの手段でパスワードを聞き出そうとしたり、パスワードを盗み見してパスワードを解析する方法となります。他にも、パスワードそのものではなく、誕生日や電話番号などをパスワードに使用している人も多いことから、それらの情報を聞き出してパスワードを解析するのも、この解析方法に含まれます。
　
総当たり攻撃や辞書攻撃、リスト攻撃を、自身でプログラムを組んで実行するのは、非常に敷居の高い解析方法ですが、ソーシャルエンジニアリングに関しては、誰でも容易に行うことができます。パートナーのLINEパスワードなどを解析するためには、まずはソーシャルエンジニアリングから初めて見るといいのかもしれません。ただし、不正アクセス禁止法に抵触することはご理解ください。

総合探偵社ＫＡＹ