Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
教師・教育支援者のための情報セキュリティ第二回
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
sonodam
October 25, 2018
Education
70
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
教師・教育支援者のための情報セキュリティ第二回
2018年度東京学芸大学
ソーシャルエンジニアリング
sonodam
October 25, 2018
More Decks by sonodam
See All by sonodam
オンラインを活かすセキュリティ人材育成
sonodam
0
57
教師・教育支援者のための情報セキュリティ第十三回
sonodam
0
86
教師・教育支援者のための情報セキュリティ第十二回
sonodam
0
88
教師・教育支援者のための情報セキュリティ第十一回
sonodam
1
100
教師・教育支援者のための情報セキュリティ第九回
sonodam
0
60
教師・教育支援者のための情報セキュリティ第八回
sonodam
0
76
教師・教育支援者のための情報セキュリティ第七回
sonodam
0
110
教師・教育支援者のための情報セキュリティ第六回
sonodam
0
74
教師・教育支援者のための情報セキュリティ第五回
sonodam
0
71
Other Decks in Education
See All in Education
新しいJavaを学んで・使っていこう! / osd26do
gishi_yama
0
160
教育現場から見た Ruby on Rails
yasslab
PRO
0
200
2026年度春学期 統計学 第7回 データの関係を知る(2)ー 回帰と決定係数 (2026. 5. 21)
akiraasano
PRO
0
180
Throw Yourself In! - How I've learned English and What I'm Facing
georgeorge
1
180
Where Data Meets Storytelling
georgesinnott
0
130
Visionary Initiative: Future Intelligence — Laying the foundations for the future of science, intelligence, and society | Science Tokyo
sciencetokyo
PRO
0
130
[2026前期火5] 論理学(京都大学文学部 前期 第5回)「 ならばの問題演習・proof net・かつの規則」
yatabe
0
350
Info Session MSc Computer Science & MSc Applied Informatics
signer
PRO
0
300
Examen de Selectividad. Geografía junio 2026 (Convocatoria Ordinaria). UCLM
juanmartin2026
1
1.5k
NDIAS Automotive / IoT CTF 2026 Recap - Keyfob & OSINT
himitu23
0
200
プログラミング言語において文字列を複数行にわたって だらだらと記載するアレ
sapi_kawahara
0
180
From Days to Minutes: How We Taught an AI to Onboard 50+ Tenants on our AI Features
mfcabrera
0
200
Featured
See All Featured
The Director’s Chair: Orchestrating AI for Truly Effective Learning
tmiket
1
210
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.3k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
410
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
210
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
290
Building Adaptive Systems
keathley
44
3.1k
How to Ace a Technical Interview
jacobian
281
24k
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
170
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
Automating Front-end Workflow
addyosmani
1370
210k
Technical Leadership for Architectural Decision Making
baasie
3
440
Transcript
教師・教育支援者の ための 情報セキュリティ 第二回:ソーシャル エンジニアリング 園田道夫
振り込め詐欺 • 「もしもし、おれだよお れ・・・」 • 『◦◦?どうしたの?』 • 「実はちょっと事故起こし ちゃって・・・」
振り込め詐欺ロジック • 「(いつもの電話じゃない?)携帯の電池 が切れて・・・」 • 「(声がおかしい?)風邪引いて・・・」 • 「会社の金で株に手を出して失敗 横領で 訴えられる
助けて!」 – 「今日、会社に監査が入る。監査前にお金を 戻せば何とかなる。宅急便が家に向かう。」 • 「電車の中で鞄をなくした」 – 「俺の責任だ! 今日中に会社の取引先にお 金を支払わなければならない」
振り込め詐欺事例 • 「不倫相手に子どもができちゃった。相手は旦那 さんがいる人で、旦那さんが怒っている。弁護士 に入ってもらった。お金を送って欲しい。」 • 「携帯買い替えて番号が変わったんだ…新しい電 話番号を控えといてよ」 – 数日後「アルバイトで浄水器の販売をしてたんだけど、
失敗の穴埋めするために会社の金を使いこんじゃって …。会社の上司が立て替えてくれたんだけど、早く返 さないと会社をクビになっちゃうから98万円(96~ 100万円のこともある)振り込んで!」 • http://www.keishicho.metro.tokyo.jp/seian/ko reisagi/hurikome_onsei/hurikomesagi.htm
傾向分析 • 震災 • マイナンバー • オリンピック/パラリ ンピック • 年金情報流出
• 還付金・給付金 • 社債、株 • カードを預かる • プリペイドカード • ATMで手続き • 宅配便で現金 • 口座が悪用されてる →口座情報教えて https://www.npa.go.jp/safetylife/seianki31/1_hurikome.htmに詳細情報あり
質問 • なぜみんな振り込み詐欺に 騙されるのか?
騙される心理傾向 • 人は自分で自分を納得させる (勝手補完) • おかしな点に気づいても、おか しいと認識しない
ソーシャルエンジニアリング • 成りすましなどを用いた情報引きだし手法 • 相手の情報を収集し、リアリティを出す – Webページ、検索 • 巧みな話術(といっても、それほど巧みで はなくても構わない)
相手の弱点を突く • 権威に弱い • 怒れるお客に弱い • 同じ組織の人には気を許す • 困っている人を助けたくなる •
→先入観を利用する • →情報を引き出しつつ利用する
怒る上司、困る同僚 • 「出張先なんだがログインできな い!一刻も早くログインしたいので なんとかしろ。できなかったら2億 の商談がパー」 • 「大事なメールが読めなくて困って いる。メールを読めるようにしたい がいつものパソコンが手元に無い」
怪しいメール 11 件名:??? 送信者: takahasi-s <
[email protected]
> 本文:何これ?? http://www.venus- navi.com/?bc=zx&me=IIidC8z6XqHY9R85H82H9B82B 6H8688693HW77vE86k6ahXkH85D9HMh
これって、私だよね? 投稿者 ともみ ってヤツ!! この間ホテルで写した写真じゃない?? どう言う事?? ヒドイョ(T_T)
ウチに来てるの(宅急便もの)
13 複数の宛先 おかしなURL 上と同じURL http://fi.isabellebellamodel.com/diejewcmjpt5679/nkcabbpmkduh26790wcavp5m- snduxno319206634/ophlcxpoo7542760の中に、メールアドレスの一部が埋め込まれている
手口:セキュリティメール • あなたのアカウントで異常な活動 が検知されたので一時的にアカウ ントを停止しています。ロックさ れた場合はログインしてアカウン トを復元してください
手口:緊急地震速報 https://matomame.jp/user/sora/1f4c0535beba2f4119b4?fbclid=IwAR39P- ESpvh2VglV5ku7faFnYwMlpfJ__JNvu4dB8RlE6yK22a6dt7HoITo、および http://news.livedoor.com/article/detail/15271386/より引用
進化する怪しいメール • (1) ウェブ等で公表されている情報を加工し て、メール本文や添付ファイルを作成した 事例 • (2) 組織内の業務連絡メールを加工して、 メール本文や添付ファイルを作成した事例
• (3) 添付ファイルをつけずに、不正なサイ トへのリンクをメール本文に記載した事例 • (4) 日常会話的なメールを数回繰り返して、 メール受信者の警戒心を和らげた事例 16 http://www.ipa.go.jp/about/technicalwatch/20111003.html
興味を引く手法の進化 17 http://www- 935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdfより 引用
大阪のおばちゃんは騙されない • 都道府県別人口一人あたりの「振り込め詐欺 被害金額ランキング」(平成17年週刊SPA! 調べ)によると第1位東京 412.9万円、 最下位大阪 47.4万円 • 話し相手との距離感を大切と考える大阪の
おばちゃんは、会話をする中で必ず相手に グっと近づくタイミングを持つ、その時に 相手の嘘がばれる、というもの。静岡県で は「大阪のおばちゃんを採用した振り込め 詐欺撲滅キャンペーンを平成15年に実施し たところ被害が急減」
最近は騙されてしまう?? • オレオレ詐欺の被害が全国的に目立った2000 年代半ばには、静岡県や島根県などで、大阪のお ばちゃんが「だまされへんで」などと呼びかける CMが制作された。昨年の大阪のオレオレ詐欺の 被害は件数、被害額ともに全国の1%に満たな かった。 • 警察庁などによると、近畿2府4県の5月末まで
のオレオレ詐欺の被害(暫定値)は、認知件数が 110件(前年同期32件)、被害額が3億51 18万円(同901万円)と大幅に増えている。 東京都の5月末までの件数が前年同期比約230 件減の401件など全国的に減少傾向にあるなか、 関西の増加は著しい。
なぜ騙されてしまうのか? • 大阪府警は急増の理由について、府内に ある複数の高校の卒業生名簿の流出をあ げる。今年の手口は、ほとんどが「息子 かたり」。特定の高校の卒業生の息子を もつ60歳以上の高齢者を狙って、「会 社の金を使い込んだ。助けて」「交際女 性の中絶費用が必要」などと、うその電 話をかけてくるケースが多いという。
• →つまり、シナリオの補強要素を得た
その他手法例 • 成りすまして直接誰か知っている人にパス ワードを聞く – 組織が大きいと相手を知らないことも多い • ゴミ箱を漁る • 肩越しにパスワード入力などを覗き込む
– どういう肩越しがあり得るのか – パスワードの入力はそもそも危険なのかどうか
Q.パスワードは 記憶させるか入力するか • 自動入力機能等を使う? • 都度入力する?
ジャニ向け裏アカ • 中学生アイドルの追っかけ • 「熱心に応援していた女子中学生のアイ ドルが、ジャニーズのファンであること を隠していたため」そのアイドルに怒っ ている • 「ジャニオタ専用の裏アカのほうが楽し
そうだった」 – 「裏アカ」とは、ファンや関係者に見つから ないようにアイドルが利用している、ツイッ ターのプライベートアカウント
裏アカへの入り込み • アイドルのフォロワーのプロフィールを数千人分チェックし ます。その中から、在学中の学校名を記載しているアカウン トに目星をつけます。 • 「なぜか中学生って、プロフィールに学校名を書きたがるん ですよね。同級生がアイドルやってるって知ったら気になる だろうし、フォロワーに同じ学校の子が複数いたら、推しの クラスメートだと思って間違いないです」
• 今度は、ツイッターで彼女が在学していると思われる学校名 を検索し、検索結果から鍵がついているものを探します。 • 「裏アカはアイドルの秘密なので、鍵がかかっています」 • その中から、推しの名前や誕生日などの情報を頼りにアカウ ントを特定するそうです。 • 「特定しても鍵がかかっていては中を見ることができないの で、女子中学生が好きそうな内容のbotを作成して潜り込みま す」 http://otapol.jp/2014/12/post-2232_2.htmlより引用
アクセス制御も突破 • 友達の友達 • bot • 賞金・賞品、美味しい情報 • 相手にエサを見せて、食らいつかせるア プローチは共通して用いられる
• システム側の不具合も・・・ • Webブラウザの弱点など
対話的手法 • コールドリーディング、ダブルバインド とか、鏡の効果とか • 専門語シャワー • 詳しいことは書かない(笑) • ケビン・ミトニック
心理学+テクノロジー • ニュースよりSNS経由の情報を信頼する? – フェイクニュースもあるし – ニュースを見極める目を持っていない? • 流行っているかのように見せる •
→自作自演する • →複数役演じる • →→フェイクニュース手法
質問 • みなさんの親、兄弟、担当す る学生が騙されないようにな るには、どうしたら良いで しょうか? • 何をどう教えたら良い?
行動心理学的考察 • リスクテイキング行動=自己中心性、楽 観視による – 被害は起きても大したことないだろう • 自己効力感(楽観視と同類) – これまで被害に遭っていないし知識もある
• 社会的勢力(情報源への信頼) • 業務関連度(情報の質、論拠)
質問 • 詐欺やソーシャルエンジニア リングの手法を学ぶことは良 いことか? • 攻撃的手法、攻撃について学ぶ、研究す ることの是非
期末レポート • 期末レポート – 宛先:
[email protected]
– 学芸システムでの送付もOK – 複数の手段で送って(念のため •
レポートのテーマは、これからやる講義 の中で興味を持ったテーマor情報セキュ リティに関わる何か • 分量は問わない(!)。自分の意見が書 かれていれば良いです。 31
終