しかせんNews

【しかせんNews#4】前澤ナンバーズにみるソーシャルエンジニアリング

こんにちは、こんばんは鹿せんべいです。

お金配りおじさんこと前澤社長が新しい企画「前澤ナンバーズ」なるものを始めました。

キャンペーンの参加方法は4桁の数字を選んでツイートするだけ、という非常に簡単なもの。

なんとなくそこでSNS等を使ったソーシャルエンジニアリングってこんな感じなのだろうなと思った。

前澤ナンバーズとは

前提として前澤ナンバーズとは、元ZOZOの社長の前澤氏が行なっているお金配りキャンペーンの新企画である。

これまでは彼をフォローしたり、特定のツイートをリツイートしたりすると応募ができた。

今回毎日抽選50日目を記念して新たにナンバーズ形式の抽選を始めたというわけだ。(資金力すごいなw)

https://twitter.com/yousuck2020/status/1304268028960485376?s=20

そしてその応募方法は、専用サイトで4桁の数字とtwitterアカウントを入力し、ツイートするだけで完了する。

ここでどのような4桁を選ぶのかが大事になってくる。

どのような4桁を選ぶべきか

まず始めに断っておくが、前澤社長は恣意的に数字を選ぶとは明示されていない。機械的に抽選する可能性もあるということだ。

だが前澤社長に関連する4桁が選ばれるのではないかと疑ってしまうのが、人間心理である。

では前澤社長が恣意的に4桁を選ぶとしてどのような数字を選ぶのだろうか。

前提として彼のキャリアを適当に箇条書きにしよう。(僕の脳内にDBに記録されているものだけを記載するので、正確な情報はググってほしい)

  • 株式会社ZOZOをヤフーに売っぱらって莫大な資産を得た
  • ZOZOの前身はスタートトゥデイ
  • ZOZOはファッションのECサイトである
  • ファッションのECサイトを手がけた理由は、前澤社長が低身長であり、自身に合う服を探すことに課題感を覚えていたため
  • 今後は宇宙に行きたい(スペースXで行く予定だっけ)
  • 剛力彩芽と交際(一度破局したが、復縁した)
  • 車と絵画がめちゃくちゃ好き(ブガッティのシロンお気に入りだっけ)
  • 千葉好き(好きというか住んでる?ロッテの本拠地がZOZOマリンスタジアム)
  • 正月にお年玉配りが好評だったので、最近は毎日お金配りをしている

まあこんなもんかな。あと確か最近株でハンパない損出してた。

これらから推測される4桁を選択することが、当選の確率をあげるのではなかろうか(恣意的に選ばれる場合)。

例えば、

  • 前澤社長自身:誕生年、誕生月日、身長など
  • ZOZO関連:設立日、上場日、証券コード、yahoo傘下になった日など
  • 趣味関連:スタートトゥデイ関連、剛力彩芽関連、車関連、スペースX関連、月関連、千葉関連
  • お金配り関連:Twitter関連、お金配り関連

みたいな感じだろうか。誕生日だと「1122」だし、生まれた年だと「1975」ってな具合だ。

ただ、僕が想像しただけでパッと出るような数字だと当選者がめちゃくちゃ出てしまう恐れがある(4桁あっている人には全員10万円)。

ややひねってくるのではないかと思う。当選者はそこそこ少ないが、納得感のある数字が選ばれそう。

よってWikipediaの前澤友作のページやZOZOのページとかに転がっている数字(誕生日とか)は、選択する人が多いので外しそう。

となると、前澤社長のtwitterのフォロワーが1,000万人超えた日とか、毎日お金配りを始めた日とか、Twitter関連はアツいのではなかろうか。あるいは彼のネクストチャレンジである月関連か。

ソーシャルエンジニアリングとは

今回僕らは、前澤社長の関連情報をネット上で収集し、鍵となる4桁の数字を探した。

SNSやネットの情報を収集することで、前澤社長が選択する数字を当てようとした。

これはクラッカーがIDやパスワードを探し出したりするソーシャルエンジニアリングの手法に似ていると思ったわけだ。

ソーシャル・エンジニアリングとは、人間の心理的な隙や行動のミスなどにつけ込み、個人が持つ重要な情報を盗み出す手法のこと。もともとは、コンピューターセキュリティ関連の用語で、マルウェアなどを用いずにIDとパスワードを不正に入手し、侵入することであり、ソーシャル・ハッキングとも呼ばれる。

https://eset-info.canon-its.jp/malware_info/special/detail/200317.html

なりすましや覗き込みなどソーシャルエンジニアリングの手法はいくつかあるのだが、SNSやネットを利用するものもある。

SNSの悪用

ターゲットのSNSでの投稿などを監視することで、ターゲットの行動傾向や趣味嗜好など、詳細な情報を把握する。

https://eset-info.canon-its.jp/malware_info/special/detail/200317.html

ここで自身を振り返って考えてみてほしい。銀行口座の暗証番号や各種サービスのログインのID・Passwordなど簡単に推測できるものにしていないだろうか?

前澤社長の選ぶ4桁を特定しようと頑張ったように、あなたの銀行口座の暗証番号を特定しようと誰かが頑張った場合を想像してほしい。

例え誕生日を明記していなかったとしても、風船が飛んでいるTwitterのスクショ(twitterでは誕生日にプロフィール画面に風船が飛ぶ)を載せるだけで特定できる時代である。

容易なパスワードを設定していると簡単に突破されてしまう。

ではどうすればいいのだろうか?絶対誰にもわからないパスワードを設定し、どこにも記録せず自分の脳みそだけに留めておかなければならない。

少なくともあなたのSNSをのぞいただけで想像できるパスワードは絶対に避けるべきだ。

あとがき

なんだかんだ前澤ナンバーズの4桁は「3092」とした。あれだけ言っておいてZOZOの証券コードであるw

まあ深く考えずに当たった時のことを妄想するのが幸せだよね。

僕は10万円当たったら自作のPC組みます。

後日談

当選結果は「9120」だった。

「9月12日0時」初めて前澤ナンバーズの当選発表をさせていただいた記念すべき日時を当選番号にさせていただきました。

https://numbers.yusakumaezawa.com/

とのこと。

僕の

>となると、前澤社長のtwitterのフォロワーが1,000万人超えた日とか、毎日お金配りを始めた日とか、Twitter関連はアツいのではなかろうか。あるいは彼のネクストチャレンジである月関連か。

という見立て自体は悪くはなかった。毎日お金配りを始めた日ではなくて、ナンバーズを始めた日にプラスして0時というひねりを加えた形だ。

当たった方はおめでとうございます。

前澤ナンバーズも第二段があるようなので、これからも予想して楽しんでいこう。