教師・教育支援者のための情報セキュリティ第二回

Transcript

1. 教師・教育支援者の ための 情報セキュリティ 第二回：ソーシャル エンジニアリング 園田道夫

2. 振り込め詐欺 • 「もしもし、おれだよお れ･･･」 • 『◦◦？どうしたの？』 • 「実はちょっと事故起こし ちゃって･･･」

3. 振り込め詐欺ロジック • 「（いつもの電話じゃない？）携帯の電池 が切れて･･･」 • 「（声がおかしい？）風邪引いて･･･」 • 「会社の金で株に手を出して失敗 横領で 訴えられる

   助けて！」 – 「今日、会社に監査が入る。監査前にお金を 戻せば何とかなる。宅急便が家に向かう。」 • 「電車の中で鞄をなくした」 – 「俺の責任だ！ 今日中に会社の取引先にお 金を支払わなければならない」

4. 振り込め詐欺事例 • 「不倫相手に子どもができちゃった。相手は旦那 さんがいる人で、旦那さんが怒っている。弁護士 に入ってもらった。お金を送って欲しい。」 • 「携帯買い替えて番号が変わったんだ…新しい電 話番号を控えといてよ」 – 数日後「アルバイトで浄水器の販売をしてたんだけど、

   失敗の穴埋めするために会社の金を使いこんじゃって …。会社の上司が立て替えてくれたんだけど、早く返 さないと会社をクビになっちゃうから98万円（96～ 100万円のこともある）振り込んで！」 • http://www.keishicho.metro.tokyo.jp/seian/ko reisagi/hurikome_onsei/hurikomesagi.htm

5. 傾向分析 • 震災 • マイナンバー • オリンピック/パラリ ンピック • 年金情報流出

   • 還付金・給付金 • 社債、株 • カードを預かる • プリペイドカード • ATMで手続き • 宅配便で現金 • 口座が悪用されてる →口座情報教えて https://www.npa.go.jp/safetylife/seianki31/1_hurikome.htmに詳細情報あり

6. 質問 • なぜみんな振り込み詐欺に 騙されるのか？

7. 騙される心理傾向 • 人は自分で自分を納得させる （勝手補完） • おかしな点に気づいても、おか しいと認識しない

8. ソーシャルエンジニアリング • 成りすましなどを用いた情報引きだし手法 • 相手の情報を収集し、リアリティを出す – Webページ、検索 • 巧みな話術（といっても、それほど巧みで はなくても構わない）

9. 相手の弱点を突く • 権威に弱い • 怒れるお客に弱い • 同じ組織の人には気を許す • 困っている人を助けたくなる •

   →先入観を利用する • →情報を引き出しつつ利用する

10. 怒る上司、困る同僚 • 「出張先なんだがログインできな い！一刻も早くログインしたいので なんとかしろ。できなかったら2億 の商談がパー」 • 「大事なメールが読めなくて困って いる。メールを読めるようにしたい がいつものパソコンが手元に無い」

11. 怪しいメール 11 件名：？？？ 送信者： takahasi-s <[email protected]> 本文：何これ？？ http://www.venus- navi.com/?bc=zx&me=IIidC8z6XqHY9R85H82H9B82B 6H8688693HW77vE86k6ahXkH85D9HMh

    これって、私だよね？ 投稿者 ともみ ってヤツ！！ この間ホテルで写した写真じゃない？？ どう言う事？？ ヒドイョ(T_T)

12. ウチに来てるの（宅急便もの）

13. 13 複数の宛先 おかしなURL 上と同じURL http://fi.isabellebellamodel.com/diejewcmjpt5679/nkcabbpmkduh26790wcavp5m- snduxno319206634/ophlcxpoo7542760の中に、メールアドレスの一部が埋め込まれている

14. 手口：セキュリティメール • あなたのアカウントで異常な活動 が検知されたので一時的にアカウ ントを停止しています。ロックさ れた場合はログインしてアカウン トを復元してください

15. 手口：緊急地震速報 https://matomame.jp/user/sora/1f4c0535beba2f4119b4?fbclid=IwAR39P- ESpvh2VglV5ku7faFnYwMlpfJ__JNvu4dB8RlE6yK22a6dt7HoITo、および http://news.livedoor.com/article/detail/15271386/より引用

16. 進化する怪しいメール • (1) ウェブ等で公表されている情報を加工し て、メール本文や添付ファイルを作成した 事例 • (2) 組織内の業務連絡メールを加工して、 メール本文や添付ファイルを作成した事例

    • (3) 添付ファイルをつけずに、不正なサイ トへのリンクをメール本文に記載した事例 • (4) 日常会話的なメールを数回繰り返して、 メール受信者の警戒心を和らげた事例 16 http://www.ipa.go.jp/about/technicalwatch/20111003.html

17. 興味を引く手法の進化 17 http://www- 935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdfより 引用

18. 大阪のおばちゃんは騙されない • 都道府県別人口一人あたりの「振り込め詐欺 被害金額ランキング」（平成17年週刊SPA! 調べ）によると第1位東京 412．9万円、 最下位大阪 47.4万円 • 話し相手との距離感を大切と考える大阪の

    おばちゃんは、会話をする中で必ず相手に グっと近づくタイミングを持つ、その時に 相手の嘘がばれる、というもの。静岡県で は「大阪のおばちゃんを採用した振り込め 詐欺撲滅キャンペーンを平成15年に実施し たところ被害が急減」

19. 最近は騙されてしまう？？ • オレオレ詐欺の被害が全国的に目立った２０００ 年代半ばには、静岡県や島根県などで、大阪のお ばちゃんが「だまされへんで」などと呼びかける ＣＭが制作された。昨年の大阪のオレオレ詐欺の 被害は件数、被害額ともに全国の１％に満たな かった。 • 警察庁などによると、近畿２府４県の５月末まで

    のオレオレ詐欺の被害（暫定値）は、認知件数が １１０件（前年同期３２件）、被害額が３億５１ １８万円（同９０１万円）と大幅に増えている。 東京都の５月末までの件数が前年同期比約２３０ 件減の４０１件など全国的に減少傾向にあるなか、 関西の増加は著しい。

20. なぜ騙されてしまうのか？ • 大阪府警は急増の理由について、府内に ある複数の高校の卒業生名簿の流出をあ げる。今年の手口は、ほとんどが「息子 かたり」。特定の高校の卒業生の息子を もつ６０歳以上の高齢者を狙って、「会 社の金を使い込んだ。助けて」「交際女 性の中絶費用が必要」などと、うその電 話をかけてくるケースが多いという。

    • →つまり、シナリオの補強要素を得た

21. その他手法例 • 成りすまして直接誰か知っている人にパス ワードを聞く – 組織が大きいと相手を知らないことも多い • ゴミ箱を漁る • 肩越しにパスワード入力などを覗き込む

    – どういう肩越しがあり得るのか – パスワードの入力はそもそも危険なのかどうか

22. Q.パスワードは 記憶させるか入力するか • 自動入力機能等を使う？ • 都度入力する？

23. ジャニ向け裏アカ • 中学生アイドルの追っかけ • 「熱心に応援していた女子中学生のアイ ドルが、ジャニーズのファンであること を隠していたため」そのアイドルに怒っ ている • 「ジャニオタ専用の裏アカのほうが楽し

    そうだった」 – 「裏アカ」とは、ファンや関係者に見つから ないようにアイドルが利用している、ツイッ ターのプライベートアカウント

24. 裏アカへの入り込み • アイドルのフォロワーのプロフィールを数千人分チェックし ます。その中から、在学中の学校名を記載しているアカウン トに目星をつけます。 • 「なぜか中学生って、プロフィールに学校名を書きたがるん ですよね。同級生がアイドルやってるって知ったら気になる だろうし、フォロワーに同じ学校の子が複数いたら、推しの クラスメートだと思って間違いないです」

    • 今度は、ツイッターで彼女が在学していると思われる学校名 を検索し、検索結果から鍵がついているものを探します。 • 「裏アカはアイドルの秘密なので、鍵がかかっています」 • その中から、推しの名前や誕生日などの情報を頼りにアカウ ントを特定するそうです。 • 「特定しても鍵がかかっていては中を見ることができないの で、女子中学生が好きそうな内容のbotを作成して潜り込みま す」 http://otapol.jp/2014/12/post-2232_2.htmlより引用

25. アクセス制御も突破 • 友達の友達 • bot • 賞金・賞品、美味しい情報 • 相手にエサを見せて、食らいつかせるア プローチは共通して用いられる

    • システム側の不具合も･･･ • Webブラウザの弱点など

26. 対話的手法 • コールドリーディング、ダブルバインド とか、鏡の効果とか • 専門語シャワー • 詳しいことは書かない（笑） • ケビン・ミトニック

27. 心理学＋テクノロジー • ニュースよりSNS経由の情報を信頼する？ – フェイクニュースもあるし – ニュースを見極める目を持っていない？ • 流行っているかのように見せる •

    →自作自演する • →複数役演じる • →→フェイクニュース手法

28. 質問 • みなさんの親、兄弟、担当す る学生が騙されないようにな るには、どうしたら良いで しょうか？ • 何をどう教えたら良い？

29. 行動心理学的考察 • リスクテイキング行動＝自己中心性、楽 観視による – 被害は起きても大したことないだろう • 自己効力感（楽観視と同類） – これまで被害に遭っていないし知識もある

    • 社会的勢力（情報源への信頼） • 業務関連度（情報の質、論拠）

30. 質問 • 詐欺やソーシャルエンジニア リングの手法を学ぶことは良 いことか？ • 攻撃的手法、攻撃について学ぶ、研究す ることの是非

31. 期末レポート • 期末レポート – 宛先：[email protected] – 学芸システムでの送付もOK – 複数の手段で送って（念のため •

    レポートのテーマは、これからやる講義 の中で興味を持ったテーマor情報セキュ リティに関わる何か • 分量は問わない（！）。自分の意見が書 かれていれば良いです。 31

32. 終