「きょう誕生日の人RT」「#ペットの名前」に反応してはいけない理由：半径300メートルのIT

[宮田健，Business Media 誠]

　先日、「はてな匿名ダイアリー」に掲載されたエントリーが話題になりました（参照リンク）。予備校が広告として電車内に張り出している「大学合格体験記」を見て、そこに登場している女性の「本名」をソーシャルネットワークサービス（SNS）で検索。出身地や出身校とあわせて本人を特定し、たくみに近づいたというものでした。匿名の書き込みですし、どこまで本当のことかは不明ですが、実現可能性は高そうです。

出したつもりがなくてもオープンになってしまう個人情報

　この一件、興味深いのは、SNSに「ユーザー自らが出した情報」をつなぎ合わせることにより、想像以上に簡単に本人特定ができることです。当然ながら、SNSに投稿された過去の情報も芋づる式につながります。「自分はたいしたことをしてないので、このツイートは大丈夫」と思っても、それまでの情報や他のSNSから得られた情報を組み合わせることで、意外なことが分かってしまうものです。

　1つ例を出しましょう。かつて筆者の友人から「ピンが大量に立てられた1枚の地図」が送られてきました。そのピンが意味するのは、筆者が画像共有型SNS「Instagram」に写真を投稿したときの位置情報です。

　写真を投稿するときにはあまり意識していませんでしたが、位置情報を見ると、特定の場所が多かったり、気を付けていたはずなのに自宅付近での写真があったりと、なかなかのインパクトがありました。そのときの様子は、@ITの記事として公開されています（参照記事）。

　個人情報がにじみ出るのは、SNSなのだから当然でしょう。危険だからやらない、というのも1つの対策ではあります。楽しくSNSを使うには、炎上せぬよう「目立たないように行動する」くらいしか思いつかないのが個人的な感想です。

「知っている」と「知らない」の間の溝

　「写真には位置情報が入っている」のだから気を付けるというのは、Business Media 誠の読者であればご存じのことでしょう。ところが、世の中にはいろんなところに意外な落とし穴がある……これを知っておくことこそ、ITリテラシーなのかもしれません。

　登録していたパスワードを忘れてしまった場合に備えて、多くのWebサービスでは「誕生日は？」「ペットの名前は？」といった質問をユーザーに設定させる「秘密の質問」という機能があります。答えはユーザー自身しか知らないという前提で、パスワードを変更できます。

　視点を変えてみれば、不正侵入に備えて二要素認証などのセキュリティ強化策を設定したとしても、この秘密の質問さえクリアできればパスワードは解除されてしまう……（参照リンク）ということでもあります。

　秘密の質問の答えがバレなければいい。もちろんそうなのですが、例えばTwitterで「誕生日が今日の人はRT」「#ペットの名前」「#自分と誕生日が同じな有名人晒せ」といったツイートに対して、正直に答えてしまっていたり、Facebookにそのまま書いてしまったりしていないでしょうか。

　いまや攻撃者はアプリやサービスの脆弱（ぜいじゃく）性よりも「人の脆弱性」に注目しています。気を付けるだけでは回避できないことも多いのですが、個人情報に関連する「〜ならRT／〜ならシェア」というようなものには乗らない、よく分からないサービスに生年月日などの情報や「秘密の質問」にありそうな情報は渡さない――といった自分なりのルールを決めておいたほうがいいでしょう。