個人情報と使い勝手のバランスに注意
三上 「スマートフォンによる個人情報収集は続いています。今後も、我々ユーザーの情報や経験を、端末メーカーもしくはネットサービスが収集して、ビジネスにするという動きは続くと思いますか」
デイビス 「端的に言ってしまえば、続くと思います。というのも、企業側としても、自分たちとしてできる限りの情報を収集するというモチベーションがかなり強力に働いているからです。
確か今年だったと思うのですが、FacebookがWhatsAPPを買収しました。WhatsAPPは、決して儲けている会社ではなかったわけです。でも儲けのない会社に対して百数十億ドルの金額を払ってFacebookが買ったことには意味があり、それはWhatsAPPが持っているデータが欲しかったのだと思います。
別の例でいえば、Googleのサーチアルゴリズムも、私がGoogleのなかで求めているものを、そのアルゴリズムを使ってGoogleが出してくれるわけです。そうすると、データ精度が良くなれば良くなるほど、Googleとしてもより良いカスタマーエクスペリアンスを提供できる。あとはユーザーが『ここまでのデータは与えていい』という領域をどこまで広げるか、ということだと思います」
三上 「個人情報がそれだけ収集される時代に、我々ユーザーは、どうしたら良いのでしょう」
デイビス 「新しいアプリやデバイスを購入するときに、いったい自分はどこまで任せていいのかということを、少し注意する必要があると思います。このデバイスで何をすることになるのか、アプリではどういった許可を誰に与えているのかということですね。
最終的にはやはり自分自身で、プライバシーなり評判・評価を守っていかないといけないと思うのです。なかには、ベンダー側に自分の情報が渡ってもいい、そちら側でコントロールしてもいいですと思う人がいるかもしれませんけれど、やはり後悔することになると思います。
今の私たち(セキュリティ業界)のジレンマは、無分別に許可を与えてしまうことがマズいことなのだということが、まだコンシューマに伝わっていないことです」
クレジットカード番号の大量流出が米国での喫緊の問題
三上 「サイバー犯罪全体の話に移ります。日本では、去年からネットバンキングの不正送金が問題になっています。ヨーロッパでは2年ぐらい前に起こっていたと思うのですが、アメリカの現状をお聞かせください」
デイビス 「オンラインバンキングの不正送金は、ロシア・ヨーロッパ、そして日本も含むアジアで非常に多いものです。
アメリカではそれ以上に、小売店舗でのクレジットカード番号の流出が非常に大きな問題で、不正送金以上の頭痛の種になっています。もちろん、オンラインバンキングを狙ったトロイの木馬に類するものがまったくないと言うわけではありません」
三上 「小売店の話ですと、POS端末にマルウェアが感染し、情報を抜き取られるという事件が大きく報道されています。もう少し詳しく教えてもらえますか」
デイビス 「(被害に遭った)Targetの場合、POSに直接侵入されたのではありません。店舗のエアコン修理などを請け負っている会社が、自社で感染したデバイスをTargetのネットワークにつないでしまい、そこにマルウェアが植え付けられて、最終的にPOSまでの道のりを見つけられてしまったということなのです。
これは同じく被害に遭ったHome Depotでも同様で、最初は小さく始まるのです。悪意ある攻撃者は、とにかくどこかにマルウェアを感染させ、そこからマルウェアを微調整していくことで、最終的に自分が到達したい場所まで侵入するのです。
Target自身はきちんとセキュリティコントロールをしていた会社だったのですが、まさかベンダー経由までは考えが及んでおらず、ベンダーのデバイスから感染してしまったのですね」