SNSでの“身バレ”の危険性とは…

写真拡大

 年末年始を含む冬休み。集まった家族や友人と集まり、記念写真や動画を撮影し、SNSにアップする機会が増えると思います。しかし、写真や動画をSNSにアップすると“身バレ”する可能性があるなどと、インターネットなどで注意喚起されているのをよく見聞きします。そこで、その危険性について元警視庁公安捜査官かつ刑事でもあり、各種情報の取り扱いに精通する日本カウンターインテリジェンス協会の代表・稲村悠さんに聞きました。

ストーキングだけじゃない! “580億円”相当の仮想通貨、盗難も

Q.自宅や近所で撮影した写真や動画をアップする裏には、どんな危険性があるのでしょうか。考えられる要素を教えてください。

稲村さん「それら写真や映像を元に自宅や勤務先が特定されます。過去には、ストーカーが、自身が好意を寄せる女性の自宅を特定するため、SNSの情報をもとに自宅特定を請け負う人物に依頼し、女性宅を特定した上でストーカー行為を行ったとして検挙されたことがあります。

写真から特定される端緒情報として以下の例が挙げられます。
電柱の住所表記▽近所の表札記載の住所表記▽マンホール▽カフェなどの店名▽自宅の形▽写真自体の位置情報

例えば、『今日も近所の行きつけに行ってきました!』などという文書とともに、カフェ内の写真を掲載すれば、住む地域が容易に特定されるでしょう。また、『今日も散歩がてら来てしまいました』などと記載すれば徒歩圏内であることがわかりますし、『今週〇〇回目!』などと記載すれば、頻繁に訪れる=地理的に遠くないといった形で大まかな地域が特定され、他の情報でその地域を狭めていけば自宅所在地域が細かく特定されていきます。

有名な話ではありますが、写真に写った人物の瞳や窓ガラスに反射した景色などの情報から特定されるといったケースもあるほか、森林の形(遠巻きに見た大まかな姿形)から撮影場所が判明したケースもあります。

また、写真や動画だけではなく、電車の遅延情報やゲリラ豪雨、地震などの災害情報から、自宅や勤務先の情報につながってしまうこともあります。

Q.ずばり、犯罪者はSNSから集めた情報を何に使うのでしょうか。

稲村さん「まず考えられるのは自宅や勤務先を標的としたストーカーや空き巣犯などの泥棒、強盗です。自宅を特定した上で、『今旅行にきています』などとSNSで投稿すれば、自宅に不在であることが容易に把握できますので、犯罪者からしたら絶好のチャンスでしょう。

サイバー攻撃もSNSと無関係ではありません。2018年6月、仮想通貨取引所『Coincheck』が外部からサイバー攻撃を受け、580億円相当の仮想通貨『NEM』が盗難されました。この攻撃は、ある社員がメール内のリンクを開いたことにより『マルウェア』に感染したことが原因とされています。

攻撃者はSNSでCoincheckに勤務するエンジニアを複数特定し、それら人物に対してSNSで接触した上で数カ月にわたって交友関係を築き、メールコミュニケーションの中で悪意あるリンクを自然な形で開かせていました。

このように、SNSに勤務先や部門を記載することで攻撃者に狙われてしまいます。上記手口は『ソーシャル・エンジニアリング』という人間心理を突いた手口ですが、新入社員が『会社の入社式!』とSNSに投稿することで、その会社の情報セキュリティールールを理解しない新入社員に対し、上司を装った攻撃者が接触を図るなどの手口もあります。

実際、私は企業向けにソーシャル・エンジニアリングを仕掛ける訓練を行うのですが、必ずSNSでの情報を探した上で、攻撃を開始します。これまで、ほぼ疑似攻撃に成功しています。

さらに、スパイ活動も同様です。ビジネスSNSの『Linkedin』を経由したスパイ活動は非常に有名で、過去には中国企業が日本のある企業に勤務し、自身の研究名も公開していた日本人に接触した事件も発生しました。他にもSNSを経由した接触事案は多く確認されています。

これらサイバー攻撃も諜報活動も、職業・勤務先や部署、研究内容などがSNS上に公開されていたことで、その情報を基に接触を図っています。

また、SNSでは“交友関係”も当然見られます。交友関係にある友人のSNSにあなたが写っている写真が存在する可能性もありますし、交友関係から大まかなコミュニティーの地域性(=出身地など)を割り出すといったことも可能です。

Q.“裏アカ”や“鍵アカ”は安全なのでしょうか。

稲村さん「“裏アカ”は、特定されることもあります。名前や誕生日、学校名や勤務先、関連する地域性などから対象者の実名アカウントを探し、その実名アカウントの友人や写真などから共通項を見つけ裏アカを特定する手法もありますが、交友関係とそのつながりの強さなどを分析・可視化する特殊なソフトも存在し、他に収集した情報と組み合わせて綿密に解析すると、特定できることもあります。

“鍵アカ”ですが、プロフィール写真やSNS以外の現実世界で把握できている本人の趣味に関する情報などから、共通の趣味を持つ人間を装ってコンタクトを取ることでフォローしてもらうなどの手法も存在します。

Q.改めてですが、SNSに写真や動画をアップする場合、どんなことに注意するといいのでしょうか?

稲村さん「大前提として、自身が守りたい情報を決めなければいけません。がんじがらめに全部ダメではSNSの面白みがなくなってしまうでしょう。『ここまで知られてよい、知られたくない情報は何か』という定義付けが必要です。

未成年に対しては、保護者が危険性を具体的かつ理解しやすい言葉で説明し、定義付けの作業を行ってあげる必要があります。当然、自宅など誰にも知られたくない情報はありますが、どこまで公にしてよい情報かの判断は意外に難しいものです。この定義付けの作業は重要です。

その上で、自宅や学校など知られたくない情報については、まずSNS上の位置情報の紐づけ設定をオフにしましょう。そして、アップする際には、どのような写真や映像が場所の特定にひも付くか注意しなければいけません。

特に重要なのは、プライベートに関する情報をリアルタイムで投稿しないことです。どこか夜景のキレイなレストランで食事した時などは、時間や日付をずらすなどの工夫をすることで、『今家にいない』という状況を把握させないことが重要です。

複数のSNSを利用している場合には写真や映像を使いまわすことで、アカウント同士の関連性・結びつきが強くなってしまい、一つのアカウントを特定されてしまうと芋づる式に他のアカウントも特定されてしまうことにも注意しなければなりません。

ぜひ、“SNS情報リテラシー”を高めていただき、犯罪などに巻き込まれないようにしてください」