ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。
(編集:株式会社ラック・デジタルペンテスト部)

裏垢特定の考察と防御について

DP部 マきむら です。

私は裏垢特定というものをやったことがありませんが、
今回は裏垢特定について考察し、防御方法を提案します。 f:id:lac_devblog:20211022164326p:plain

※注意※
弊社では以下の本記事のような卑劣で最低な下衆極まりない 裏垢特定 行為は一切行っておりません。

採用活動における裏垢特定

巷では就活生のSNSの裏垢を特定するサービスがあるという。

では、筆者なりにやるとしたらと仮定しての手法を考えてみました。9999999%想像です。
もっといい方法あるよ、うちではこんな方法でやってるよというご意見があれば是非教えてください。

条件

エントリーシートが手元にあること

考えられる手法

  1. メールアドレスがtwitterIdと同一のものがあるか調べる 疑わしいIDが存在した場合、パスワードリセット画面に遷移し、メールアドレスの最初の2文字とドメインの文字数が一致してるか、もしくは電話番号の下2桁が一致しているか。

  2. ダークウェブ等で様々なウェブサービスから今までに漏洩したメールアドレス情報に対して検索をかけ、目的のメールアドレスが出てくるか。 そして、パスワードなどの情報も一緒に出てくれば、今度は同一のパスワードを設定していてかつ異なるメールアドレスがあるか。 そのメールアドレスに紐づいて再び1,2を行う。

  3. 1,2がダメだった場合、提出された書類などの限られた情報の中から、ダークウェブや、(gmailアドレス、またはgoogleWorkspaceを利用している組織の場合)hangOut等 でメールアドレスを走査、 該当していそうなメールアドレスがあれば、1,2を行う。

  4. 本名でやってるSNSのID(URLにある)と共通した他のSNSのID、メールアドレスの存在を調べる。

などの方法が考えられるでしょうか。 3の方法はしたくないですね。無限の時間が必要です。

では、そのアカウントが本人かどうかという根拠はなんでしょうか

根拠となりそうな情報

  1. アップしてる写真から推測

  2. 言動、プロフィールから推測(生年月日、取得資格など)

  3. 通っている大学のアカウントをフォローしている。もしくは、周りの人間が大学のアカウントをフォローしている。

以上から頑張って総合的に判断する。ということが推測されます。
いくら合致していても推測の域から出ることはできない)

以上が推測できますね。
それでは、防御策を考えてみました。

筆者が考え得る防御策

  1. 就活のアドレスは別垢でやりましょう。
  2. パスワードの使いまわしはやめましょう。
  3. プライベートのことを書き込むのは調査側にとって都合が良いので控えましょう。
  4. 鍵垢にしようとも、@twitterIdで検索をかけられた場合に、鍵をしていない相手からの返信内容は筒抜けなので解決になっていません。
  5. twitterの設定で隠す。パスワードリセット時に登録したメールアドレスが求められるようになります。
    f:id:lac_devblog:20211022154551p:plain
    設定➡セキュリティとアカウントアクセス➡セキュリティ➡追加のパスワード保護

本記事を御覧下さったみなさん、本記事は筆者の推測となっております。悪しからず。