ブラックハット欧州が一般データ保護規則 (GDPR) を導入したとき、それはデータの安全性における大きな前進となるはずでしたが、ずさんな実装と少しのソーシャル エンジニアリングによって、個人情報窃盗犯にとって天国になることがあります。
普段は衛星ハッキングを専門とするオックスフォード大学の博士課程の学生、ジェームズ・パヴール氏は、ラスベガスで開催されたブラックハット・セキュリティ・カンファレンスでのプレゼンテーションで、どのようにしてGDPRシステムを不正利用して婚約者のクレジットカード番号や社会保障番号、パスワード、さらには婚約者の母親の旧姓までを含むあらゆる種類の有用な情報を入手できたかを説明した。
「プライバシー法は、他の情報セキュリティ対策と同様に、悪用される可能性のある脆弱性を抱えています」と彼は述べた。「法律が施行される前にこれらの脆弱性を調査していれば、発見できたはずです。」
パヴールの研究は、ポーランドの空港の出発ロビーという、意外な場所から始まりました。彼と婚約者が乗る予定だったフライトが遅延した後、彼らは仕返しに航空会社にGDPRのリクエストを大量に送りつけようかと冗談を言いました。結局、そうはなりませんでしたが、この出来事がきっかけで、他人からどのような情報が得られるか試してみるというアイデアが生まれ、パヴールのパートナーが実験のモルモットになることに同意しました。
パヴール氏によると、ソーシャルエンジニアリングの目的において、GDPRには多くの実質的なメリットがあるという。まず、企業は要請に1ヶ月以内に回答しなければならず、応じない場合は売上高の最大4%の罰金が科せられる。そのため、失敗への恐怖と時間への恐怖が、企業にとって大きな動機付けとなる。
さらに、GDPR関連のリクエストに対応する担当者は、ソーシャルエンジニアリングの手法に慣れたセキュリティ担当者ではなく、通常は管理職や法務担当者です。そのため、情報収集がはるかに容易になります。
パヴールは2ヶ月の間に婚約者の名義で150件ものGDPRに基づく要請を送り、彼女に関するあらゆるデータの開示を求めた。その結果、72%の企業から回答があり、そのうち83社が彼女に関する情報を保有していると回答した。
興味深いことに、回答者の5%(主に米国の大企業)は、GDPRの適用範囲外であると回答しました。EUで重要な拠点を有し、裁判所に出廷した場合、彼らは大きな衝撃を受けることになるかもしれません。
回答者の24%は、メールアドレスと電話番号を本人確認書類として受け取り、婚約者に関するファイルをすべて送信した。さらに16%は簡単に偽造できる身分証明書を要求し、3%は婚約者のアカウントを削除するという極端な手段を取った。
マーケティングビジネスは、GDPRのコミュニケーション設定を尋ねる行為で人々のデータを公開しています
続きを読む
多くの企業が本人確認としてアカウントのログイン情報を求めてきたが、これは実はかなり良いアイデアだとパヴール氏は指摘する。しかし、あるゲーム会社がそれを試したところ、彼はログイン情報を忘れたとだけ言い、結局ログイン情報を送られてきた。
企業が送信した情報の範囲は不安を掻き立てるものだ。ある教育ソフトウェア会社は、パヴール氏に婚約者の社会保障番号、生年月日、母親の旧姓を送信した。別の会社は、彼女のクレジットカード番号10桁以上、有効期限、カードの種類、郵便番号を送信した。
脅威インテリジェンス企業(Have I been Pwnedではない)が、攻撃で既に漏洩した彼女のメールアドレスとパスワードのリストを送ってきた。これらのリストの中には、一部のアカウントではまだ有効だったものもあった。パヴール氏は、このような事態の再発を防ぐため、彼女にパスワードマネージャーを設定したという。
「彼女が聞いたこともなく、関わりを持ったこともなかった組織が、彼女に関する極めて機密性の高いデータを保有していた」と彼は述べた。「GDPRは、世界中の誰もがその情報を収集できる口実を与えてしまったのだ。」
この問題を解決するには、立法者と企業の両方による行動が必要だとパヴール氏は述べた。
まず第一に、GDPRの申請において有効な身分証明書の形式について、立法者が基準を定める必要があります。ある鉄道会社は、婚約者宛ての使用済み封筒を身分証明書として受け取り、喜んで個人情報を提供しました。
アカウントのログイン情報を要求するのは良いアイデアだと彼は提案したが、そのようなアカウントが乗っ取られている可能性は常にある。偽造IDが蔓延しているとはいえ、運転免許証も良い代替手段となるだろう。
企業は、適切な証拠がない限り、情報提供の要請を拒否する用意をしておくべきだと彼は示唆した。訴訟に発展する可能性もあるが、顧客のデータを守る姿勢を示すことは決して悪いことではないだろう。®
