TOPセキュリティ > 機密情報は自分から漏れている?OPSEC強化が必須なわけ(中...

セキュリティ

機密情報は自分から漏れている?OPSEC強化が必須なわけ(中)

2019/05/29

Josh Fruhlinger CSO

 企業や組織に関して何らかのデータが公になった時に、敵がそれを他のデータと的確に組み合わせて巧妙に分析すると、秘匿しておくべき全体像が明らかになる場合がある。そうした事態を防ぐように自組織のデータを保護するプロセスがOPSEC(Operations Security:作戦保全)だ。

前回から続く)

 また、Twitterアカウントに関しては、「niebuhr」に関連する名前を使っているアカウントは数えるほどしかなかった。そのうちの1つが、「@projectexile7」というアカウントだった。このアカウント名は、Comey氏が1990年代に立ち上げに携わった銃犯罪対策プログラムに由来するものと見られた。また、このアカウントをフォローしていたのは、Comey氏の友人で、安全保障関連ブログの開設者であるBenjamin Wittes氏1人だけだった。こうしてFeinberg氏はアカウントを突き止めた。その後、2017年10月になって、同氏の読みが正しかったことが確認された。

 この事例が見事に示しているとおり、セキュリティ意識が高いはずの人でも、本人が気づかないうちに、ソーシャルメディアにさまざまな手がかりを残していることがある。また、軍事的な意味でこれ以上に深刻な痕跡がFacebookなどのソーシャルメディアに残っている場合もある。

 例えばロシア政府は、ウクライナ東部の紛争に関して、親ロシア派の武装勢力はウクライナ国内の勢力であり、ロシア軍が関与しているわけではないと公式には説明している。だが、ロシア軍の兵士がソーシャルメディアにたびたび上げた投稿の中には、Instagramの写真にうっかり付いていた位置情報から、ウクライナ領内にいたことを明白に示しているものがあった。

 似た例としては、広く利用されているフィットネスアプリ「Strava」がある。フィットネストラッカーのデータを基に、世界各地でユーザーがジョギングなどのアクティビティを行った場所が細かく分かる機能をStravaがリリースしたところ、秘密の米軍基地の場所が明らかになってしまった。このアプリは米軍兵士にも愛用者が大勢いるからだ。

↑ページ先頭へ