母親の旧姓、安易に他人に教えてない？　個人情報を教えてしまうハードルはどれぐらい？

イギリスにおける個人情報保護に関する意識調査

　以前に比べて「個人情報保護」に対する意識は高まっていると期待される一方で、実際には多くの人が安易に個人情報を他人に教えてしまっていることに懸念を抱いているセキュリティ専門家は少なくありません。そのような中、ノルウェーの指紋認証技術企業IDEX Biometricsはイギリスで個人情報保護に関する意識調査を実施し、その結果を公開しました。

　調査はイギリスに住む18歳以上の1000名を対象とし、イギリス全体の傾向を示せるように性別や年齢、居住地などに偏りがないように行われています。

　まず、驚くような結果ではないですが、全体の59％が自分の個人情報のセキュリティについて心配していると回答している一方で、73％が無料のコーヒーと引き換えに名前を教えてしまうだろうとしています。この73％のうち「心配している」と回答していた人がどれくらいいるのかは不明ですが、安易に名前を教えてしまう人が多数を占めていることが分かります。

　また、無料の飲み物やスナック菓子と引き換えに電子メールアドレスを教えてしまう人は全体の71％、さらに誕生日まで教えてしまう人は33％に及んでいます。回答者の立場で考えれば、飲み物やスナック菓子の種類や量によっても回答は変わってくるはずですが、そのあたりは具体的に示されていません。

　さらに、世代間の違いについても調査しており、若い世代ほど個人情報を他人に教えてしまうハードルが低い傾向が見られています。具体的には、ミレニアル世代でコーヒーと引き換えに電子メールアドレスを教えてしまうのは79％、携帯電話の番号を教えてしまうのは42％であるのに対し、その親世代であるベビーブーマー世代はそれぞれ73％、26％となっています。

　また、IDEX Biometricsの販売マーケティング担当のシニアバイスプレジデントであるDavid Orme氏は、今回の調査結果を紹介するTechNativeの記事の中で、ミレニアル世代よりさらに若い世代「ジェネレーションZ」で母親の旧姓を他人に教えることに注意していると回答しているのが43％にとどまっているのに対し、ベビーブーマー世代では74％となっているとの結果を紹介しています。

　このような実態は単に啓発が足りないためなのかもしれませんが、その一方で、個人情報保護について企業を信頼しておらず、あきらめている人も少なからずおり、今回の調査によれば、21％が今の時代に個人情報を保護しても無駄であり、犯罪者がその気になればどうせ見つけられてしまうと考えているようです。

　今回の調査結果は、少しでも個人情報を他人に教えてしまったら致命的な事態になりかねないとでも言いたげな少々煽り気味な表現が使われていますし、指紋認証技術企業が行なった調査なので当然とも言えますが、最終的には「だから生体認証、特に指紋認証を使えばいいのだ」（意訳）と結論付けています。その結論には論理に飛躍がありすぎるので適当に読み流してしまって構わないのですが、それでも今回の調査は、かねてより言われていたことを具体的に確かめたという点で意味のあるものだったと言えます。

　また、同様の調査を他のさまざまな国や地域で実施すると、どれくらい同じでどれくらい違いが出るのかという点にも興味が湧きます。例えば、個人情報を教えてしまうハードルの高さが違うかどうかだけでなく、今回の調査では個人情報と引き換えにするものとしてコーヒーやスナック菓子を挙げていましたが、これも国や地域によって違うものの方が「効果的」で「効率的」かもしれないなど、いろいろ調べたいポイントが思いつきます。もちろん、こういった調査の結果は個人情報を悪用したい側に「エサ」を与えることになりかねないので不用意に行なうべきではないですが、興味は尽きません。

機械学習を用いた効率的かつ効果的な脆弱性管理

　本連載の2018年9月および2019年1月の記事でも紹介したように、脆弱性の深刻度を評価する「CVSS（Common Vulnerability Scoring System）」の基本値だけでパッチ適用の優先順位を決めるのは適切ではありません。その一方で、日々数多くの脆弱性情報が公開される中で、全ての脆弱性に対応して全てにパッチを当てるのは現実的に容易ではありません。

　そのような中、今年の6月初旬にボストンで開催された「The 2019 Workshop on the Economics of Information Security （WEIS 2019）」において、バージニア工科大学とランド研究所などの研究者らは「Improving Vulnerability Remediation Through Better Exploit Prediction」と題した論文で、機械学習（Machine Learning）を用いた脆弱性の悪用予測について発表しました。なお、今回の論文ではいわゆる「ゼロデイ脆弱性」は対象とされていません。

　当たり前のことではありますが、大量に公開される脆弱性のうち、実際に悪用されるのはごくわずかです。また、CVSS基本値の高い、すなわち技術的な観点で深刻度が高い脆弱性が悪用されやすい傾向にあることは確かですが、それでもCVSS基本値の高い脆弱性の全てが必ずしも悪用されるわけでもなければ、CVSS基本値の低い脆弱性が全く悪用されないわけでもありません。実際には、対象となる製品のシェアや一般的に想定される使用環境などに依存するのはもちろん、攻撃者の考えや好みといった極めて曖昧なものにも左右される可能性があります。

　このようにさまざまな要素が複雑に絡み合うため、脆弱性による脅威の度合いを簡単な計算式で算出することは難しく、そこで機械学習を用いて過去の悪用事例などの実績をもとに悪用されるか否かを予測する手法を確立することができれば、悪用される可能性の高い脆弱性を優先して対応するといった効率的かつ効果的な脆弱性管理が行えるようになることが期待できるわけです。もちろん、100％の完璧な予測はありえず、あくまで可能性を示すだけであることに注意が必要です。

　今回のバージニア工科大学などによる研究では、過去の同様の研究と比べて、結果変数（outcome variable）として攻撃手法の「公開（published）」の代わりに「出回り（in the wild)」を使用することで拡張・改善をしており、実際にこれまでよりも効率的な結果が出ていることが示されています。また、研究者らはこの研究によってCVSS自体の改善にも使えるのではないかとしています。

　このような効率的な脆弱性管理のための悪用予測の研究が進むのは良いことですし、今後も注目していく必要はあるでしょう。しかしその一方で、悪用される可能性が低いと予測された脆弱性はパッチ適用が遅れがちになるため、そのような脆弱性こそ本気の攻撃者であれば悪用しようと考える可能性もあります。つまり、いくら予測がある程度可能になったとしても100％完璧な予測は不可能なのです。また、そもそもの話として悪用予測が可能になってもパッチの適用が不要になるわけではありません。パッチ適用の優先順位を考えることも大事ですが、パッチ適用可能性の高い（パッチを適用しやすい）システムの設計・構築の必要性も忘れてはいけません。