教師・教育支援者のための情報セキュリティ第六回

教師・教育支援者のための情報セキュリティ第六回：特定園田道夫

ホテルの件（ツイートが発端でした） • [サッカー選手]と[モデル]がご来店 [モデル]まじ顔ちっちゃくて可愛かった…今夜は2人で泊まるらしいよお、これは… （どきどき笑） • 日銀の総裁と日産のCEOwwwww たぶん
円高への対応と中国と今後の日本経済についての密談じゃないかな？ • （中略） • 退職＆公式謝罪 2

高速特定部隊 1/11 22:50 問題のツイート 1/12 02:40 ν速に最初のスレが立つ 02:40 Twitterプロフィールから学部確認 03:07
Twitterの登録リストから女子学院であることを確認 03:13 アカウントの◦◦から苗字は◦◦、 ◦◦を類推 03:15 mixiアカウント発見、参加コミュから 09入学の◦◦大、予備校は◦◦◦塾 03:15 Twippleの写真からウェスティンホテル東京を確認 03:17 Google検索、◦◦大◦◦学部、洋弓部に◦◦を確認 03:20 昨年の対戦相手、◦◦大◦◦部の試合記録にて◦◦大に◦◦◦を発見 03:36 過去のツイート「22階から見る景色」「忙しかった。そんなに高級鉄板焼きが食べたいか」勤務先「恵比寿」確認 03:37 Twitter,Twilogとも魚拓確保 03:57 facebookアカウント発見、最初の顔写真 04:05 mixiアカウント名変更 04:05 Twitterアカウント削除 (---ここまで1スレ目---) 04:20 facebookアカウント削除 (これにてこれらのアカウントが同一人物であることがほぼ確定) 05:30 ガジェット通信、ロケットニュース掲載 06:05 芸スポ板に最初のスレ 06:47 既婚女性板に最初のスレ 12:55 卒業アルバムの写真がうpされる 16:48 MSN産経にニュース掲載 17:22 Yahooニュース掲載 21:05 総支配人からお詫び掲載 3

画像検索してみた 6

18 撮影したカメラ: Apple iPhone 3GS 撮影日時: 2011/0802/17:11:42 撮影場所: 北緯37度48.26分西経122度28.07分

http://www.forest.impress.co.jp/docs/news/20110426_442410.htmlより引用 22

撮影角度、消去法、プロファイリング

最大120分まで遡ることが可能。23区拡大も。いつどこに降雨があったのかを探すことができる。

「芸能人の恋人」特定技術 • ペットの瞳、窓、車などに映り込んだ人 • 同じ柄の服装の断片 • 二人同士近い場所でのスナップ • 文章の共通項、類似性

スマホ写真の瞳に人影 • 徳島県警：スマホ写真、被害者の瞳に容疑者の顔解析成功（毎日新聞2017年1月24日） – http://mainichi.jp/articles/20170124/k00/00e /040/207000c • 顔写真の瞳に写る真実。瞳孔を拡大することで
その時一緒にいた人物をほぼ特定できることが判明（英研究） – http://karapaia.com/archives/52150909.html – 「最適な画像を得るよりも、その写っている顔を良く知っている人、最適な観測者を見つける方が重要となってくる。必ずしも高画質である必要はない。一般的なカメラの写真でも、その人物を知っている人がみれば判別可能なのだ。」

ピースは危険？ • 写真でやってる何気ない仕草で個人情報が流出！？国立情報学研究所が警鐘 – http://www.appps.jp/251843/ • 「実験によれば、3m離れて撮影した写真からでも読み取りが可能だったというん
だから、多少写真が粗ければ大丈夫という訳でもなさそう」

詐欺軍団特定の集合知の利用 • クリック系詐欺（電話してみた！） • 電話の背景音からアジトを特定した！ • 背景音：電車の音、踏切の音→抽出して鉄オタに聞き分けてもらう • →音の具合から場所の性質を推定、時刻
表と照合して目星 • 背景音：バイク音、階段の上り下り音→ 建物の特定 • しゃべり方：方言

質問 •自分の情報をどうコントロールすれば良いのか？ •それをどう教えていけば良いのか？

OSINT • Open Source INTelligence • 公開情報をもとに機密情報を分析・抽出して集める技術・知見

システムが「手助け」してくれる例 • 「メールアドレスでお友達を検索できるようになりました！お友達を捜すときなどに、どうぞお使いください」 • 普通の人「知り合いのメアドで検索してみよ」 34

メールアドレスで知り合い検索同僚にハブられてた入籍前の彼女がバレンタインデーに別の男と会っていたオークション詐欺の犯人が見つかった風俗関係のメアド全部検索した父親がネカマだったやってないと言っていた彼女の日記が
友達が入っているコミュが笑えなかった家族でマイミクじゃないの自分だけだった会社の子の日記が見つかった貢いでいた子が家庭持ちだった職場の先輩が腐女子だとわかった妹に嫌われていた妹が中絶コミュに入っていた彼女が風俗嬢だった学校時代の女子がみんなリア充だった知らない足跡が残っていた 35

タイムラインは良い材料過ぎる

推測、推測 • 利用端末（通勤中？オフィス？） • 書き込み頻度のトラフィック解析 –場所との結びつき • 公衆無線LAN経由？（カフェで･･･） –盗聴 •
自宅？ –盗聴

積極的な収集 • 突如届く、美女からの友達になりたいメール – 左から、友人数4000人の相澤美波さん（早稲田卒）、相澤さんの友人の和久井あすかさん（青学卒）、国仲レイナさん（上智卒） 38 http://www.landerblue.co.jp/blog/?p=1005より引用
FB美人調査隊より（https://www.facebook.com/beauty.research）

リアルタイムSNS系列検索万歳！

Facebookで情報収集 • 研究者たちがFacebookに102体のボットを送り込んで250GBのユーザデータを収集（偽アカウントボット） 45 http://jp.techcrunch.com/archives/20111101researchers-flood- facebook-with-bots-collect-250gb-of-user-data/

友人経由のリンクや情報 • Aさんが罠にかかり、友達Bさん宛に不正メッセージを送ってしまう • Bさんがメッセージで詐欺サイトに誘導され、マルウェアに感染などの被害に遭う • 最初にかかった人（Aさん）が踏み台にされ、その友人（Bさん）に危機が及ぶ
46 http://www.symantec.com/connect/ja/blogs/facebook-csrfなどの事例

友人からの情報は信じる? 47 http://jp.trendmicro.com/jp/about/news/pr/article/20110819013710.ht ml?Homeclick=news&cm_re=Corp-_-tab-_-newsより引用

裏アカへの入り込み • アイドルのフォロワーのプロフィールを数千人分チェックします。その中から、在学中の学校名を記載しているアカウントに目星をつけます。 • 「なぜか中学生って、プロフィールに学校名を書きたがるんですよね。同級生がアイドルやってるって知ったら気になるだろうし、フォロワーに同じ学校の子が複数いたら、推しのクラスメートだと思って間違いないです」
• 今度は、ツイッターで彼女が在学していると思われる学校名を検索し、検索結果から鍵がついているものを探します。 • 「裏アカはアイドルの秘密なので、鍵がかかっています」 • その中から、推しの名前や誕生日などの情報を頼りにアカウントを特定するそうです。 • 「特定しても鍵がかかっていては中を見ることができないので、女子中学生が好きそうな内容のbotを作成して潜り込みます」 http://otapol.jp/2014/12/post-2232_2.htmlより引用

アクセス制御も突破 • 友達の友達 • bot • 賞金・賞品、美味しい情報 • 相手にエサを見せて、食らいつかせるアプローチは共通して用いられる
• システム側の不具合も･･･ • 流れに乗って暴露、というのも･･･

質問 •他人が出す情報はどうしたら良い？ •炎上→特定し、晒すことの社会的正義？

質問 •自分の「情報」にそれほどセンシティブになる必要がある？

教師・教育支援者のための情報セキュリティ第六回

教師・教育支援者のための情報セキュリティ第六回

sonodam

More Decks by sonodam

Other Decks in Education

Featured

Transcript