サイバーセキュリティ
基礎論
― IT社会を生き抜くために ―
13.ソーシャルエンジニアリング、メディア
ソーシャルエンジニアリング
人間の心理的な隙や、行動のミ
スにつけ込んで個人が持つ秘密
情報を入手する方法のこと。
(Wikipedia)
どちらかといえばアナログな攻
撃
ソーシャル系のアタック
 身分を詐称して電話をかけ、パスワードや
重要情報を聞きだす。
 ATMなど端末を操作する人の後ろに立ち、
パスワード入力の際のキーボード(もしく
は画面)を短時間だけ凝視し、暗記する
(ショルダーサーフィン)。
 IDやパスワードが書かれた紙(付箋紙な
ど)を暗記し、メモする。ディスプレイ周
辺やデスクマットに貼り付けられているこ
とが多い。
おれおれ詐欺
 電話「おれ、おれだけど・・・」
 あなた「(だれ?)◯◯?」
(←情報の漏洩:あなたの知人の名前)
 電話「そう、◯◯。実はさ、事故ってし
まって・・・」
 あなた「え?車でもぶつけたの?」
(←情報の漏洩:◯◯さんは車に乗ってい
る)
ソーシャル系アタックの防御
 聞き返す(「おれおれ」「だれ?」)
 パスワード、暗証番号はわかりにくいもの
を
 入力時に見られていないか確認する癖
 生体認証(指紋、静脈など)を使う
暗号ZIPファイルの
パスワード解析にかかる時間
文字数
4
数字のみ
0秒
英小文字のみ
0秒
英小文字、数字
0秒
6秒
3分7秒
68 分
*29 時間
*32 日
*2.26 年
35 秒
21 分 51 秒
*13 時間程度
*19 日程度
*1.9 年
*67 年
5
0秒
6
0秒
7
6秒
8 1分2秒
9 10 分 50 秒
10
*100 分
(検証環境:CPU Pentium M 1.2GHz, Memory 1GB, OS:Windows XP)
*は実測値から計算される推定値
生体認証
生体認証の抜け道?
静脈認証
SNS
 個人の情報や現状を発信
 各個人間での相互の連携が結べる
 サイバーコミュニティ
 関連性から知人を紹介
→コミュニティの拡大
SNSの一般的な問題
 個人情報の暴露
 厄介なところ:自分から暴露してしまう
 あたかも閉鎖的な印象、実は開放的
 エゴサーチ
 自分の評価だけじゃなくて、自分の情報がどの程
度暴露されているか?
 情報の使い分け(仕事用、プライベート用、
趣味用など)ができているから大丈夫?
 情報は知人にしか教えていないから大丈
夫?
 幾つかのサービスから情報を仕入れて、個
人を特定することはそんなに難しくない
個人の特定
A
実は宝くじが当たった
プライベート用
User:AAA
SNS
◯◯で
働いている
仕事用
User:AAA
SNS
旅行が好き
趣味用
SNS
User:AAA
教える
閲覧
B
個人の特定
A
実は宝くじが当たった
プライベート用
User:AAC SNS
◯◯で
働いている
仕事用
User:AAA
SNS
教える
趣味用と
同じ写真
旅行が好き
趣味用
User:AAB SNS
写真
閲覧
撮影場所
(GPS情報)
日時
旅行の写真
画像検索
近いな
同じ写真
だ・・・
B
仕事の休みと
旅程が一致
個人情報の特定
 ネットリテラシーのまだない小学生が自分
の本名や住所を公開
 写真のExifから撮影地を特定
 知人と同じ写真を共有
 複数サービスの同一IDから個人特定
ヤフオクのアカウントからFacebook特定
逗子ストーカー殺人事件
 昔別れた恋人をネットで検索
 質問サイト(Yahoo知恵袋)などもフル活
用
 知人を装い、近隣の人に聞きまくる
 「***に在住の方に質問です。昔、お世
話になった方を捜しています。***に住
んでいるらしいのですが、詳しい住所が分
かりません」などと質問し情報収集
ビットコイン
 公共トランザクションログを利用している
オープンソースプロトコルに基づくPeer to
Peer型の決済網及び暗号通貨である。
(Wikipedia)
性格診断から情報を抜かれる?
 いろんな質問に答えて性格診断
 質問につられて通常答えないような質問に
も答えてしまう?
 質問の答えを突き詰めていくと、個人の特
定とか
メディア・・マスメディア
 情報の伝達が早い、SNSで一回流れると消え
ない(リベンジポルノ)
 P2Pネットワークのように、分散されて記録
されていけば、どこに情報が残っているか
追跡不可能
 コピーの連鎖
 昔(アナログ)であれば、コピーするごと
に劣化して自然消滅していく
 今はデジタルコピーなので、完全消滅は難
しい
 クラウドサービス
 1度流れたら2度と消せないぐらいの覚悟
で
事例)2ちゃんねる
 2ちゃんねるに個人情報の掲載
 本人からの削除依頼
 まとめサイトにはコピー済み
 いくつコピーされたかもわからない
 2ちゃんねるから消えても、すべてのコ
ピーサイトから消すことは事実上不可能
チェーンメール
 連鎖的に(チェーン)不特定多数への配布
をするように求める手紙である。かつて
「不幸の手紙」や「幸福の手紙」と呼ばれ
たものが典型的な例である。(Wikipedia)
 この手紙を受け取った人は24時間以内に
10人に送らないと・・・
 知人から送られてくるため、無条件に信用
してしまう。
 情報に踊らされない。情報の出所の確認を
徹底。
いろいろなチェーンメール
 佐賀銀行取り付け騒ぎ
2003年12月25日に「12月26日に佐賀銀行がつぶれる」というチェーンメー
ルが出回り、取り付け騒ぎが発生。佐賀県警察は送信した女性を割り出し、
信用毀損罪容疑で送検した。
 テレビ番組企画詐称が相次ぐ
1999年ごろから「ザ!鉄腕!DASH!!(日本テレビ)」の企画と詐称した
チェーンメールが相次ぐ。
 テディベアウィルス
jdbgmgr.exe(アイコンがテディベア)はウィルスだから削除しろ。実際
にはこのexeファイルはJavaをデバッグする為の正規のシステムプログラ
ムであったが、信じて削除してしまう人が続出し、情報処理振興事業協会
は注意を呼びかけた。
 2011年東北地方太平洋沖地震に関するチェーンメール
「コスモ石油千葉製油所の爆発により有害物質が拡散し、雨などと一緒に
降るから、肌を露出しないように」というメールが拡散。便乗チェーン
メールの典型。
プライバシーとアイデンティティ
 プライバシー
個人や家庭内の私事・私生活。個人の秘密。また、
それが他人から干渉・侵害を受けない権利。
 アイデンティティ
1 自己が環境や時間の変化にかかわらず、連続す
る同一のものであること。主体性。自己同一性。
「―の喪失」
2 本人にまちがいないこと。また、身分証明。
(大辞泉)
 特定のサービスを利用する際に、個人情報
の提供が必要→漏洩のリスク
 オンライン決済:クレジットカード番号
→カード番号漏洩のリスク
 地図アプリの利用:行動履歴
→行動パターンの追跡
 オンラインショップ:商品購入履歴
→
27
まとめ
 サイバー空間といえど、アナログな攻撃も
少なくはない
 ネット越しにまる
 SNSなどでの個人情報の公開は慎重に行う
 一度流れた情報の削除は難しい
 情報に踊らされない。
 出所の確認
 個人情報提供によるメリットとデメリット
28
課題
 本日の講義を聞いて、掲示板やSNS利用等で
新たに自分が気をつけようと考えたことが
あれば、それを示してください。
 本日の講義であげた事例以外の事例を知っ
ていれば、それを書いてください。
 もし、本日の講義であげたような事例に
あったと想定して、自分なりの対処方法を
考えてみてください。
 本講義の感想、要望、質問などあれば、書
いて下さい。
ダウンロード

Document