無縫地帯

不安な要素を指摘するだけでは根本的解決につながらない、セキュリティサービスのあり方について

データ漏洩については真剣に対策を打つ必要がある一方、不必要にセキュリティ不全の危険を煽ることが果たして社会全体の安全に繋がるのか悩ましいセキュリティ企業の広告が増えてきました。

昨今のITセキュリティの何が厄介かといえば、よほどにセキュリティ事情に興味を持つ人以外にとっては根本的に何が問題となっているのかよく分からないというところがあります。極端な話、自分のITデバイスがマルウェアに感染していてボットとして動作していたとしても、本人にとっては金をとられたみたいな実被害が生じない限りあまり問題として意識されないのではないでしょうか。

もちろん、問題のあるウイルスに感染して自身の個人情報やメール、LINEなどでのSNSのやり取り、プライベートな写真などなどが吸い出される可能性があるばかりか、そのスマートフォンやPC端末を「踏み台」にしていろんなシステムに侵入する足掛かりにされたり、その人物に成りすましてさらに他人を引っ掛けようとする詐欺などの犯罪に使われないとも限りません。

IoTデバイスを乗っ取るマルウェアの類はその攻撃力が社会問題化するほどの被害を及ぼします。ところが、乗っ取られたそのIoTデバイスの持ち主本人にとってみれば直接的に大きな被害が発生しているという感覚がほとんど無いため、そうしたセキュリティ状況を改善するために行動を起こす動機がかなり希薄になってしまうため、感染したという事実の認識が遅れたり、気づいても対処しなかったり、という現実があります。

IoTマルウェア「Mirai」の標的が企業にシフト、攻撃の威力さらに増大の恐れ(ITmedia 19/3/19)

こうした状況はさすがに社会的に問題がありすぎるため、総務省は日本国内のIoTデバイスに対して一斉にポートスキャンを実施するというかなり思い切った施策を開始したのですが、これにしてもITセキュリティ方面にあまり興味のない多くの人にとっては何が問題で何を政府が行っているのかはっきりとは認識してないことでしょう。

総務省の下した判断には当然是々非々いろんな意見が飛び交うのですが、ウイルス感染症などの公衆衛生に関する政策同様に、国民全体が問題を認識し、対処を行って「集団免疫」が効く状況に持っていけるのが理想です。そういう理想には現状は程遠くとも、これから為すべきことは何かという未来を指し示して一歩でも二歩でも前に進もうという姿勢は大事じゃないかと思います。

国によるIoT機器へのセキュリティ調査、2月20日よりポートスキャン実施(INTERNET Watch 19/2/5)

述べた通り、被害が自身のこととして実感できなければ人はなかなかセキュリティに対して本腰を入れられないのかもしれません。で、こうした傾向をよく知っているセキュリティ対策企業としてはどうやって人々に問題を気付かせセキュリティ対策に金を使ってもらうようにするかを日夜悩んだ結果、こんな個人向けサービスが考え出されたようです。

シマンテック、漏れた個人情報をチェック(日本経済新聞 19/7/10)

シマンテックは10日、「ダークウェブ(闇サイト)」で取引される個人情報を監視するツール「ノートンダークウェブモニタリング」を発表した。
(中略)
ダークウェブモニタリングでは、ユーザーが登録した個人情報が闇サイトに流れていないかを検証。流出していれば警告を表示し、さらにどのような対処をすべきかをガイドするようになっている。日本経済新聞
そうですか。

闇サイトに流通するメールアドレス程度であれば無料で検索できるツールも色々とありますが、ほとんどは英語サイトであることもあり、本当にそうしたサイトのウェブツールが信用できるかどうかを判断するのが一般ユーザーにはちょっとばかりハードルが高かったわけですが、世間に知られたセキュリティ対策企業の製品であればたとえ有料サービスでも使ってみようと考える人はそれなりにいるというところでしょう。

で、同社の製品紹介サイトをのぞいてみたのですが、演出が過剰に感じられます。

ノートン ダークウェブ モニタリング(ノートン)

ページへアクセスするとおどろおどろしい書体と画像で「流出したあなたの情報どうなるか知っていますか?」とおどかされ、さらには「あなたも他人事ではない? "恐怖のダークウェブ" 特別ムービー」というYouTube動画がリンクされていて、見る人の不安をがんがん煽ってくる作りで、これだけ煽られるとちょっと気の弱い人にとっては強く訴求力がある作りになっています。ここまでやれば多くの人々にセキュリティの大切さを実感してもらえるかもしれませんが、これでサービスに加入して実際に自分の情報が流出していることが発覚した場合、どのように対処するべきかは悩ましいところです。

同サービスでは「流出した個人情報を守るために、どう対処するべきか、今後どうやって個人情報を守っていくべきかアドバイスします」とありますが、アドバイスされてもすでに流出してしまっている情報の流布を止められるわけではないんですよね。もちろん「これ以上、漏洩が続かないようにする」以上の方法はないのですが、不安を強く煽っておいて、あとは気をつけて行動してください程度のありがたいアドバイスがもらえたとしてもあまり助けにはならないだろうなと…。

昔のアンチウイルスソフトは検知機能の性能の有無はともかくとして、感染したウイルスの除去・削除機能などが用意されたりしていたものですが、もはや好ましくない状況が検知されてもそれを止める具体的な手立ては用意されていない時代になってしまったということでして、まあセキュリティ対策企業としてもこれ以上はどうしようもないという現実はありつつ、なんとも微妙な商売になってきたなと感慨深く思う次第です。実際、入り込まれてしまっていたならば早くパスワード変えましょうぐらいのことしか言えませんから、仕方ないといえば仕方ないのですが。

シマンテックが「個人情報流出は他人事ではありません」と喧伝するのはまさにその通りではあります。そういう状況が自分の身に起きていることを思い知らされるのは決して悪いことではないとも思います。一方で、流出したのが分かったところで流出した情報自体を止める方法はない以上、有効な対処の方法も限られます。そこまで伝えて初めて「啓蒙」なんだと思いますが、そういう意味ではこのシマンテックのサービスは現実を認識するために役立つのかもしれないですね。