大手テクノロジー企業は、ユーザーから膨大な量の個人データを集めている。そのため、彼らは顧客と株主の両方に対して、データが安全であり、ハッキングや侵入といった従来型の方法で簡単に盗まれることがないことを保証するために懸命に働いている。アップルとメタ(フェイスブックの親会社)という世界最大級のハイテク企業2社にとって、これは確かに事実である。しかし、大企業といえども、時には巧妙に仕組まれた欺瞞に引っかかることがある。
ヒューマン・ファクター
ソーシャル・エンジニアリングとは、ほとんどのセキュリティ・チェーンで最も弱いリンクであるヒューマン・エラーを攻撃することです。ソーシャル・エンジニアリングは、信頼を得たり、貪欲さを利用したり、恐怖を誘発したり、その他の心理的な操作戦術を用いることで、被害者を騙して、安全でないシステムを危険にさらすような行動を自発的に実行させます。
アップルとメタの両社の場合、ここでのソーシャル・エンジニアリングの手口は、ハッカーが法執行官になりすまして緊急データ要求を送るというものだった。この合法的な法的要請は、応じる前に召喚状や令状、その他裁判所が承認した文書を提示するという要件を無効にするものだ。この偽の緊急データ要求に直面したAppleとMetaの従業員は、これに応じ、IPアドレス、住所、電話番号を引き渡した。
継続的な挑戦
特に、生体認証やその他の形態のサイバーセキュリティなど、一般的に最新のセキュリティ対策を採用している企業にとっては恥ずべきことではあるが、アップルもメタも、ハッカーに渡したデータの全容を明らかにしていない。しかし、どのようなサイバーセキュリティ対策が講じられていても、一部の犯罪者は諦めず、欲しいデータを手に入れるために最も極端な手段に訴えるということは、犯罪者の野心を物語っている。
生体情報、USB暗号化、復号鍵、その他のパスワード不要の認証方法はすべて、信じられないほど効率的なサイバーセキュリティの形態です。しかし、それらは個人保護の一形態であり、個人が自分のデータへのアクセスを制限するために必要なセキュリティを提供するものです。ソーシャル・エンジニアリングのスキームが、ピラミッドの「頂点」であるデータ・テクノロジー企業自体で機能した場合、何が起こるかは計り知れません。データ・テクノロジー企業は、合法的で検証可能な法的要求が提示されれば、あらゆるセキュリティを無効にし、要求に応じてデータを提供することができます。
アップルの変化
アップルは2020年秋、パスワードレス認証の世界における新たなグローバルスタンダードであるFIDOアライアンスに加盟した。アップルは現在、「Passkey」として知られるマルチデバイスFIDO標準を作成し、ユーザーがFIDO秘密鍵を使用してアップルアカウントにアクセスできるようにしている。デバイスを紛失したり交換したりした場合、FIDO秘密鍵はユーザーが所有する別のアップル・デバイスから復元できる。アップルが他の340のFIDOアライアンスメンバーに加わったことで、FIDOアライアンスのグローバルな確立は完了したとみなされる。
しかし、すべての企業が自社のサイバーセキュリティに真剣に取り組むことは極めて重要である。システムやネットワーク上のデータは保護されなければならない。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。