プライバシーリスク
一度漏えいした情報は一生悪用される:ソーシャルメディアにおける生体情報漏えいが将来に及ぼす影響
私たちがオンラインで公開している画像、動画、音声などの投稿は、サイバー犯罪者に悪用される可能性がある機微な生体情報を露出していることがあります。これらのパターン情報は事実上変更不可能であり、現在そして将来の攻撃でも悪用されるでしょう。
ソーシャルメディアへの投稿は、いまや一般の人々だけでなく世界中の企業や公共機関にとっても利用価値のある存在となっています。一般ユーザが個人的な経験や考えを共有したり、一部の専門家が金銭を稼いだり、企業や組織が広告や最新情報を共有したりする際の不可欠なツールといえます。近年、特に画像や動画などの投稿内容のクオリティが大幅に向上し、いまなお進化し続けています。
他方、残念ながら、個人的なメディアコンテンツを高解像度で共有することで、私たちは意図せずして機微な生体情報を公開してしまうことになります。こうした行為は、自分が何を露出しているのか自覚できていないため、特に危険といえます。これらの情報は、ソーシャルメディアのトレンドや、メイクアップチャレンジ、工作動画、建築動画、歌のチャレンジといった人気の活動を通じて、誰でも共有可能であり、一度公開してしまうと変更不可能な個人情報をばらまいてしまっている可能性があります。以下、典型的なソーシャルメディアの投稿を再現しながら、こうした個人情報露出の危険性を示します。
メイクアップビデオから露出される情報:顔、虹彩、耳、声、手のひらなど
一般的にコンテンツ制作者は最高級のカメラと照明器具を使用し、ライフスタイルや美容の専門家の多くは、クローズアップショットに依存しています。このような動画や画像や音声から、さまざまな生体認証パターンが露出されることになります。
顔面の高解像度映像や画像は、以下のように悪用されます。
- 顔と声のパターンを使ってディープフェイクの人物像が作成される
- 音声認証を必要とするアカウントが乗っ取られる(リストに記載されたフレーズやランダムに表示される文言を認証のために発話させるケースなど)
- 顔認証のアカウントが乗っ取られる
著名人の動画から露出される情報:個人の顔面、耳の形、指紋など
高画質な動画や画像からは、検証や識別に使用される生体的特徴が簡単に盗み取られます。
攻撃者は、著名人のイベントなどで使用される高解像度の写真の一部を拡大し、利用可能な生体情報を取得することができます。例えば、上の画像からは、指紋が露出していることがはっきりと分かります。同様に耳の形も利用可能な情報となります。あまり認証に使われることはないものの、CCTVカメラの映像も人物の照合に利用可能です。
また、プロが撮影した画像に付与されたメタデータから、ターゲットに関する詳細な個人情報を得ることも可能であり、これにより攻撃が成功する確率も高まります。ソーシャルメディア以外では、企業のポータルサイトやニュースサイトなどでも画像が公開されることが多く、これらの画像には、通常、被写体に関する具体的な情報も記載されています。
ばたきしないチャレンジ動画で露出される情報:目の形、虹彩、顔の特徴など
生体認証の技術は、10年前と比べると、広く普及して重要な役割を果たすようになっており、多くのデバイスやオンラインアカウントでは、フェイススキャナーやアイスキャナーによる認証が利用されています。
ソーシャルメディア上の画像から得られた生体認証の情報を悪用することで、攻撃者は以下の活動が実行できます。
- 被害者から盗んだデバイスのロックを解除する
- 生体認証機能を使用するプラットフォームのアカウントを侵害する
- 被害者になりすましてその個人や企業のアカウントを使用する
ハンドアートで露出される情報:指紋、掌形の特徴など
スマートフォンのカメラや手持ちのブログ用カメラは、HDや4Kのビデオがソーシャルメディアの投稿に標準的に用いられてきていることに伴い、急速に進化し、性能を向上しています。残念ながら、個人が日常使用するデバイスの中にも、指紋情報を抽出し悪用する為に十分な解像度を含むものがあります。
これは指紋情報が多くのデバイス(個人のスマホから会社のPCまで)やアカウントの認証に用いられていることから、特に危険と言えます。国によっては、指紋情報を商品やサービスの支払いに利用することさえできます。
これらの生体情報は広く公開されており、多くの場合、できるだけたくさんの人々に届くように積極的に宣伝されています。有名人や専門家の場合、何百万人もの人がこれらの動画や画像を目にすることになります。一方、こうした状況下で彼らの生体情報をコントロールできる手立ては限られています。これらの情報に誰がアクセスしたのか、コンテンツがどのように利用されたのか、どのくらいの期間保持されるのかなどを彼らが詳しく把握することは困難です。
生体情報は、犯罪捜査や鑑識、保護された建物へのアクセスなど、セキュリティのために古くから利用されてきました。そして現在、生体認証の利用は主流となり、何億人もの人々が毎日顔認識や指紋スキャナーを利用しています。これは、もし生体情報を使用する技術やプロセスに脆弱性やその他の不具合があった場合、同じ規模の利用者が影響を受ける可能性があることも意味します。上述のシナリオの他、ソーシャルメディアでの生体情報露出により、以下のリスクに見舞われる可能性もあります。
- メッセージングやなりすましの詐欺:生体情報やソーシャルメディアの情報により、標的となる個人の友人や家族にも詐欺被害が及ぶ。
- ビジネスメール詐欺:通話などでディープフェイクが使用され、同僚やビジネスパートナーになりすました偽の送金依頼が実行される。
- 新アカウントの作成:公開された個人情報で本人確認サービスを回避した犯罪者が、銀行や金融機関、公共サービスなどで新たなアカウントを作成し、自分たちの不正活動に利用する。
- 恐喝メール:ソーシャルメディア上で公開された生体情報が利用され、より効果的な恐喝の材料が作成される。
- 偽情報:有名人の偽物を使って世論の操作が可能となる。このような策略により、経済的、政治的、風評的な被害が発生する。
- デバイスの乗っ取り:IoTデバイスや、音声認識や顔認識が利用できるガジェットなどが盗まれたり、乗っ取られたりする。
生体情報の他、非生体的なユニークな特徴も、個人の特定や、プロファイリングに利用可能です。例えば、刺青などの(ほぼ)変更できない特徴、衣服やアクセサリーなどの変更可能な特徴もここに分類されます。これらの特徴は、社会的地位、民族性、年齢などのプロファイリングに利用されます。その他、メディアに露出したブランド物の服、サングラス、帽子、バッグなども、そうした情報を手がかりにして、個人への攻撃や犯罪に利用される可能性もあります。
生体情報の公開場所
生体情報は、さまざまなプラットフォームやメディアで公開されています。メッセージングアプリ(Telegramのグループチャットなど)、ソーシャルメディアプラットフォーム、政府や企業のポータルサイト、ニュースやメディアで、これらの情報が公開されているのを目にすることができます。
どのような対策を講じるべきか
生体情報の問題点は、通常のパスワードと異なり、一度公開すると変更がほぼ不可能なことです。個人が新しい虹彩パターンや指紋を手に入れることなど、ほぼ不可能でしょう。これらは一生ものの「パスワード」であり、一度公開されれば、攻撃者は、5年後、10年後にもそれを悪用することができます。したがって、どのような個人の生体情報がすでに公開されているか、公開される可能性があるか、そのような内容の公開が自分にどのような影響を与えるかを知っておくことが重要となります。
一般ユーザの場合、機密性の高いアカウントの認証や確認には、露出度の低い生体情報(指紋など)を使用することをお勧めします。また、生体情報の露出を避ける上では、ネットに公開する画像の解像度を下げたり、特定箇所や特徴をぼかしたりするのもよいでしょう。生体認証パターンを使用する企業や組織の場合、認証のための基本的な要素は「ユーザが持っているもの」「ユーザが知っているもの」「ユーザーであるもの」という3点になります。また、アカウントごとに定義された具体的な「何か」と併用することでも認証や検証に際して有効となります。最後に多要素認証(MFA)も、機密情報を扱う上であらゆる企業や組織の標準となるべき点も強調しておきます。
このタイプの脅威の詳細および対策等については、トレンドマイクロのリサーチペーパー「一度漏えいした情報は一生悪用される」をご覧ください。