Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
教師・教育支援者のための情報セキュリティ第二回
Search
sonodam
October 25, 2018
Education
0
49
教師・教育支援者のための情報セキュリティ第二回
2018年度東京学芸大学
ソーシャルエンジニアリング
sonodam
October 25, 2018
Tweet
Share
More Decks by sonodam
See All by sonodam
オンラインを活かすセキュリティ人材育成
sonodam
0
40
教師・教育支援者のための情報セキュリティ第十三回
sonodam
0
60
教師・教育支援者のための情報セキュリティ第十二回
sonodam
0
69
教師・教育支援者のための情報セキュリティ第十一回
sonodam
1
53
教師・教育支援者のための情報セキュリティ第九回
sonodam
0
41
教師・教育支援者のための情報セキュリティ第八回
sonodam
0
49
教師・教育支援者のための情報セキュリティ第七回
sonodam
0
87
教師・教育支援者のための情報セキュリティ第六回
sonodam
0
52
教師・教育支援者のための情報セキュリティ第五回
sonodam
0
52
Other Decks in Education
See All in Education
Multimodal Interaction - Lecture 3 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1k
執筆テーマの決め方
sapi_kawahara
1
170
Copilotとして理解する生成AI利用の基本
gmoriki
0
130
2023年度桜井政成ゼミ資料_論文の探し方・読み方
masanari
6
2.2k
Railsチュートリアルの歩き方 (第7版)
yasslab
PRO
1
1M
LightSail2324
cbtlibrary
0
120
情報Iの「縦糸」と「横糸」を意識したプログラム教育の実践
asial_edu
0
200
前期教育実習事前指導0221
naradai
0
130
合理的配慮を知るワークショップ/Understanding Reasonable Accommodations (Workshop)
freee
0
1.4k
H5P-työkalut
matleenalaakso
3
32k
UniKL 2024 - Phishing Security Awareness: Malware
x86fatah
0
110
@ngrx/signals
yannickbaron
0
130
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
272
13k
Six Lessons from altMBA
skipperchong
19
3k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.4k
Become a Pro
speakerdeck
PRO
9
4.5k
A designer walks into a library…
pauljervisheath
199
23k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
GraphQLの誤解/rethinking-graphql
sonatard
49
9.2k
Testing 201, or: Great Expectations
jmmastey
27
6.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
13
1.5k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
18
1.7k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Transcript
教師・教育支援者の ための 情報セキュリティ 第二回:ソーシャル エンジニアリング 園田道夫
振り込め詐欺 • 「もしもし、おれだよお れ・・・」 • 『◦◦?どうしたの?』 • 「実はちょっと事故起こし ちゃって・・・」
振り込め詐欺ロジック • 「(いつもの電話じゃない?)携帯の電池 が切れて・・・」 • 「(声がおかしい?)風邪引いて・・・」 • 「会社の金で株に手を出して失敗 横領で 訴えられる
助けて!」 – 「今日、会社に監査が入る。監査前にお金を 戻せば何とかなる。宅急便が家に向かう。」 • 「電車の中で鞄をなくした」 – 「俺の責任だ! 今日中に会社の取引先にお 金を支払わなければならない」
振り込め詐欺事例 • 「不倫相手に子どもができちゃった。相手は旦那 さんがいる人で、旦那さんが怒っている。弁護士 に入ってもらった。お金を送って欲しい。」 • 「携帯買い替えて番号が変わったんだ…新しい電 話番号を控えといてよ」 – 数日後「アルバイトで浄水器の販売をしてたんだけど、
失敗の穴埋めするために会社の金を使いこんじゃって …。会社の上司が立て替えてくれたんだけど、早く返 さないと会社をクビになっちゃうから98万円(96~ 100万円のこともある)振り込んで!」 • http://www.keishicho.metro.tokyo.jp/seian/ko reisagi/hurikome_onsei/hurikomesagi.htm
傾向分析 • 震災 • マイナンバー • オリンピック/パラリ ンピック • 年金情報流出
• 還付金・給付金 • 社債、株 • カードを預かる • プリペイドカード • ATMで手続き • 宅配便で現金 • 口座が悪用されてる →口座情報教えて https://www.npa.go.jp/safetylife/seianki31/1_hurikome.htmに詳細情報あり
質問 • なぜみんな振り込み詐欺に 騙されるのか?
騙される心理傾向 • 人は自分で自分を納得させる (勝手補完) • おかしな点に気づいても、おか しいと認識しない
ソーシャルエンジニアリング • 成りすましなどを用いた情報引きだし手法 • 相手の情報を収集し、リアリティを出す – Webページ、検索 • 巧みな話術(といっても、それほど巧みで はなくても構わない)
相手の弱点を突く • 権威に弱い • 怒れるお客に弱い • 同じ組織の人には気を許す • 困っている人を助けたくなる •
→先入観を利用する • →情報を引き出しつつ利用する
怒る上司、困る同僚 • 「出張先なんだがログインできな い!一刻も早くログインしたいので なんとかしろ。できなかったら2億 の商談がパー」 • 「大事なメールが読めなくて困って いる。メールを読めるようにしたい がいつものパソコンが手元に無い」
怪しいメール 11 件名:??? 送信者: takahasi-s <
[email protected]
> 本文:何これ?? http://www.venus- navi.com/?bc=zx&me=IIidC8z6XqHY9R85H82H9B82B 6H8688693HW77vE86k6ahXkH85D9HMh
これって、私だよね? 投稿者 ともみ ってヤツ!! この間ホテルで写した写真じゃない?? どう言う事?? ヒドイョ(T_T)
ウチに来てるの(宅急便もの)
13 複数の宛先 おかしなURL 上と同じURL http://fi.isabellebellamodel.com/diejewcmjpt5679/nkcabbpmkduh26790wcavp5m- snduxno319206634/ophlcxpoo7542760の中に、メールアドレスの一部が埋め込まれている
手口:セキュリティメール • あなたのアカウントで異常な活動 が検知されたので一時的にアカウ ントを停止しています。ロックさ れた場合はログインしてアカウン トを復元してください
手口:緊急地震速報 https://matomame.jp/user/sora/1f4c0535beba2f4119b4?fbclid=IwAR39P- ESpvh2VglV5ku7faFnYwMlpfJ__JNvu4dB8RlE6yK22a6dt7HoITo、および http://news.livedoor.com/article/detail/15271386/より引用
進化する怪しいメール • (1) ウェブ等で公表されている情報を加工し て、メール本文や添付ファイルを作成した 事例 • (2) 組織内の業務連絡メールを加工して、 メール本文や添付ファイルを作成した事例
• (3) 添付ファイルをつけずに、不正なサイ トへのリンクをメール本文に記載した事例 • (4) 日常会話的なメールを数回繰り返して、 メール受信者の警戒心を和らげた事例 16 http://www.ipa.go.jp/about/technicalwatch/20111003.html
興味を引く手法の進化 17 http://www- 935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdfより 引用
大阪のおばちゃんは騙されない • 都道府県別人口一人あたりの「振り込め詐欺 被害金額ランキング」(平成17年週刊SPA! 調べ)によると第1位東京 412.9万円、 最下位大阪 47.4万円 • 話し相手との距離感を大切と考える大阪の
おばちゃんは、会話をする中で必ず相手に グっと近づくタイミングを持つ、その時に 相手の嘘がばれる、というもの。静岡県で は「大阪のおばちゃんを採用した振り込め 詐欺撲滅キャンペーンを平成15年に実施し たところ被害が急減」
最近は騙されてしまう?? • オレオレ詐欺の被害が全国的に目立った2000 年代半ばには、静岡県や島根県などで、大阪のお ばちゃんが「だまされへんで」などと呼びかける CMが制作された。昨年の大阪のオレオレ詐欺の 被害は件数、被害額ともに全国の1%に満たな かった。 • 警察庁などによると、近畿2府4県の5月末まで
のオレオレ詐欺の被害(暫定値)は、認知件数が 110件(前年同期32件)、被害額が3億51 18万円(同901万円)と大幅に増えている。 東京都の5月末までの件数が前年同期比約230 件減の401件など全国的に減少傾向にあるなか、 関西の増加は著しい。
なぜ騙されてしまうのか? • 大阪府警は急増の理由について、府内に ある複数の高校の卒業生名簿の流出をあ げる。今年の手口は、ほとんどが「息子 かたり」。特定の高校の卒業生の息子を もつ60歳以上の高齢者を狙って、「会 社の金を使い込んだ。助けて」「交際女 性の中絶費用が必要」などと、うその電 話をかけてくるケースが多いという。
• →つまり、シナリオの補強要素を得た
その他手法例 • 成りすまして直接誰か知っている人にパス ワードを聞く – 組織が大きいと相手を知らないことも多い • ゴミ箱を漁る • 肩越しにパスワード入力などを覗き込む
– どういう肩越しがあり得るのか – パスワードの入力はそもそも危険なのかどうか
Q.パスワードは 記憶させるか入力するか • 自動入力機能等を使う? • 都度入力する?
ジャニ向け裏アカ • 中学生アイドルの追っかけ • 「熱心に応援していた女子中学生のアイ ドルが、ジャニーズのファンであること を隠していたため」そのアイドルに怒っ ている • 「ジャニオタ専用の裏アカのほうが楽し
そうだった」 – 「裏アカ」とは、ファンや関係者に見つから ないようにアイドルが利用している、ツイッ ターのプライベートアカウント
裏アカへの入り込み • アイドルのフォロワーのプロフィールを数千人分チェックし ます。その中から、在学中の学校名を記載しているアカウン トに目星をつけます。 • 「なぜか中学生って、プロフィールに学校名を書きたがるん ですよね。同級生がアイドルやってるって知ったら気になる だろうし、フォロワーに同じ学校の子が複数いたら、推しの クラスメートだと思って間違いないです」
• 今度は、ツイッターで彼女が在学していると思われる学校名 を検索し、検索結果から鍵がついているものを探します。 • 「裏アカはアイドルの秘密なので、鍵がかかっています」 • その中から、推しの名前や誕生日などの情報を頼りにアカウ ントを特定するそうです。 • 「特定しても鍵がかかっていては中を見ることができないの で、女子中学生が好きそうな内容のbotを作成して潜り込みま す」 http://otapol.jp/2014/12/post-2232_2.htmlより引用
アクセス制御も突破 • 友達の友達 • bot • 賞金・賞品、美味しい情報 • 相手にエサを見せて、食らいつかせるア プローチは共通して用いられる
• システム側の不具合も・・・ • Webブラウザの弱点など
対話的手法 • コールドリーディング、ダブルバインド とか、鏡の効果とか • 専門語シャワー • 詳しいことは書かない(笑) • ケビン・ミトニック
心理学+テクノロジー • ニュースよりSNS経由の情報を信頼する? – フェイクニュースもあるし – ニュースを見極める目を持っていない? • 流行っているかのように見せる •
→自作自演する • →複数役演じる • →→フェイクニュース手法
質問 • みなさんの親、兄弟、担当す る学生が騙されないようにな るには、どうしたら良いで しょうか? • 何をどう教えたら良い?
行動心理学的考察 • リスクテイキング行動=自己中心性、楽 観視による – 被害は起きても大したことないだろう • 自己効力感(楽観視と同類) – これまで被害に遭っていないし知識もある
• 社会的勢力(情報源への信頼) • 業務関連度(情報の質、論拠)
質問 • 詐欺やソーシャルエンジニア リングの手法を学ぶことは良 いことか? • 攻撃的手法、攻撃について学ぶ、研究す ることの是非
期末レポート • 期末レポート – 宛先:
[email protected]
– 学芸システムでの送付もOK – 複数の手段で送って(念のため •
レポートのテーマは、これからやる講義 の中で興味を持ったテーマor情報セキュ リティに関わる何か • 分量は問わない(!)。自分の意見が書 かれていれば良いです。 31
終