慶應義塾大学 政策・メディア研究科1年 (C班) 三島 和宏/白畑 真/仲山昌宏

Slides:



Advertisements
Similar presentations
情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
Advertisements

不正アクセス禁止法 他人のパスワードを不正に入手して使用 することや、セキュリティホールを悪用 してパスワードなしにアクセスを行うこ とがあげられる。 他人のパスワードを本人の許可なく第三 者に知らせることも不正アクセス行為に なる。 違反すると 1 年以下の懲役と 50 万円以下 の罰金が科せられる。
消費者被害に巻き込まれないための正しい対応を選ぼうー① 詐欺サイトでのショッピング 本文を読んで、正しい対応策を下の A ~ C の中から選びましょう。 2. プリペイド購入詐欺 ブランド品などが買えるサイトで商品を注文した後、代 金を支払ったのに品物が届かなかったり、届いても粗悪 品(コピー商品)だったりする詐欺です。驚くほど安い.
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
目次 このドキュメントについて・・・前提条件……………………………………… 2
Global Ring Technologies
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部
情報基礎A 情報科学研究科 徳山 豪.
駒澤大学 経営学部 情報セキュリティ B 公開鍵暗号による 認証つきの秘匿通信 ―― 鍵に注目して ――
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.
第2章 ネットサービスとその仕組み(前編) [近代科学社刊]
SoftLayerポータルへの不正アクセス防止
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
CGI Programming and Web Security
コンピュータ管理と セキュリティ 成蹊大学工学部物理情報工学科 中野武雄.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
「まめだくん Ver.1.0」 特徴と利用方法.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
Vulnerability of Cross-Site Scripting
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
“All your layer are belong to us” 君達の「階層」は全て我々が戴いた
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
ブラウザに表示されるURL と パケットのIP アドレスを比較するツール
インターネット活用法 ~ブラウザ編~ 09016 上野喬.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
2004年度 サマースクール in 稚内 JavaによるWebアプリケーション入門
2003年度 データベース論 安藤 友晴.
メールの利用1 Webメールの利用方法.
UTM SS5000で社内ネットを一括管理 簡単に、安全な、ネットワークセキュリティ-システムを構築 UTM 無 UTM 有
Ibaraki Univ. Dept of Electrical & Electronic Eng.
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
ネットワーク詐欺.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
第10回 情報セキュリティ 伊藤 高廣 計算機リテラシーM 第10回 情報セキュリティ 伊藤 高廣
ネットワークアプリケーションと セキュリティ
DNSトラフィックに着目したボット検出手法の検討
7. セキュリティネットワーク (ファイアウォール)
第二章 インターネットで やり取りする情報を守る
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
VIRUS.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
ネットワークプログラミング (5回目) 05A1302 円田 優輝.
Web - 01 IIS を インストールしよう.
メールの仕組みとマナー.
Intel SGXを用いた仮想マシンの 安全な監視機構
早稲田大学大学院 基幹理工学研究科 情報理工学専攻 後藤研究室 修士1年 魏 元
コンピュータ リテラシー 担当教官  河中.
コミュニケーションと ネットワークを探索する
Q q 情報セキュリティ 第9回:2006年6月16日(金) q q.
IDSとFirewallの連携によるネットワーク構築
トラフィックプロファイラAGURIの設計と実装
Webアプリケーションと JSPの基本 ソフトウェア特論 第4回.
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
低軌道周回衛星における インターネット構築に関する研究
Presentation transcript:

慶應義塾大学 政策・メディア研究科1年 (C班) 三島 和宏/白畑 真/仲山昌宏 {three,true}@sfc.wide.ad.jp phishing attacks 慶應義塾大学 政策・メディア研究科1年 (C班) 三島 和宏/白畑 真/仲山昌宏 {three,true}@sfc.wide.ad.jp

課題から 問1: これまでの授業の理解を元に、現状の社会システムにおけるセキュリティ上の脅威を挙げなさい。このとき、5つの視点からその脅威に対する言い分を考察し、解決すべき具体的な問題点を抽出しなさい。また、ユーザの視点からネットワークに対する具体的な要求事項を整理しなさい。 問2: 問1で取り上げた問題に対して、社会・技術の両側面を考慮したセキュリティアーキテクチャを提案しなさい。提案では「問題」と「解決のアプローチ」を明確にし、セキュリティアーキテクチャの構築プロセスのシナリオを明示しなさい。

phishing とは メールとWebサイトを組み合わせた詐欺の一種 企業からのメールを装い、偽のWebサイトに誘導 実際には… CitibankやeBayなどの著名企業が標的に 日本でもYahoo! JapanやVISAを騙ったメールが 送信される phisher victim

偽装メールの例 リンクをクリックすると偽Webサイトへ…

5つの視点とPhishing テクノロジ 組織 社会 世界 個人 “偽装”のためのテクノロジ “偽装”防止のためのテクノロジ ブランドイメージの低下 顧客対応等に伴う経済的損失 社会 保険等のコスト上昇 世界 インターネット上のアプリケーションに対する信頼低下 個人 クレジットカード番号や個人情報の流出 経済的損失とプライバシーの侵害

個人の被害 セキュリティホールはソフトウェアだけではない 釣られなかった場合 釣られた場合 ユーザの心理 ソーシャルエンジニアリング的側面 “口座の確認”など言葉巧みに入力を誘う 釣られなかった場合 SPAMメールとしての側面 不要なphishingメールを読む負荷 真正なメール/Webサイトを確認するコスト 釣られた場合 クレジットカード番号や個人情報の流出 経済的損失とプライバシーの侵害

課題から 問1: これまでの授業の理解を元に、現状の社会システムにおけるセキュリティ上の脅威を挙げなさい。このとき、5つの視点からその脅威に対する言い分を考察し、解決すべき具体的な問題点を抽出しなさい。また、ユーザの視点からネットワークに対する具体的な要求事項を整理しなさい。 問2: 問1で取り上げた問題に対して、社会・技術の両側面を考慮したセキュリティアーキテクチャを提案しなさい。提案では「問題」と「解決のアプローチ」を明確にし、セキュリティアーキテクチャの構築プロセスのシナリオを明示しなさい。

フィッシング問題の本質 解決のアプローチ 問題: 偽造されやすいシンボルに基づき、ユーザが 「偽物」を「本物」であると信じること 別の方法で真正性を確認する よくフィッシングに使われるテクニックに対抗する ユーザをフィッシングの脅威から隔離する フィッシングの実施に伴う社会的コストを上昇させる ユーザに対する教育

フィッシング被害を防止できる箇所 フィッシングメール フィッシングサイトへのアクセス 機密情報(クレジットカード番号等)の送信 3 2 1 phisher 1 victim

解決のアプローチ(1) 別の方法で真正性を確認する Webブラウザのアドレス欄やステータスバーの 偽装工作 実際にそのURLをWebブラウザに入力してみれば良い  画面上のURLをOCRし、認識した文字列で確認用の Webブラウザを開くなど アドレスバーまで偽造されたWebサイトの例 (Windows XP SP2未適用のIEの場合)

解決のアプローチ(1) Webサイトをホストしているサーバの情報を表示 Netcraft Anti-Phishing Toolbar http://news.netcraft.com/archives/2004/12/28/netcraft_antiphishing_toolbar_available_for_download.html おおよそのサーバの運用開始日時 サーバの知名度 WebサイトをホストしているIPアドレスが割り当てられている 国名および組織名 Webブラウザのアドレス欄以外の方法で真正性を推定 SOIのWebサイト(www.soi.wide.ad.jp)を閲覧した場合

解決のアプローチ(1) S/MIMEの利用 受信時に電子署名を検証 電子メールの内容改ざんを防止 Fromアドレスの真正性の保証 電子証明書の発行ポリシによる

解決のアプローチ(2) ウィルススキャンソフトの活用 よくフィッシングに使われるテクニックに対抗する フィッシング詐欺にはセキュリティホールが 悪用されるケースが多い Internet Explorer: Windows Update Mozilla, Firefox, Opera: 自動的な アップデートメカニズムなし ウィルススキャンソフトの活用 セキュリティホールを悪用したHTMLファイルを 検知・アクセスを遮断 セキュリティホールを突くことを意図したコードを 含むHTMLを検知したNorton Antivirusの画面

解決のアプローチ(3) ユーザをフィッシングの脅威から隔離する ホストへの到達性を遮断 コンテンツのフィルタ コンテンツの変更 End-to-end アーキテクチャは毀損されちゃうけど… ホストへの到達性を遮断 パケットフィルタリング Sinkhole routing コンテンツのフィルタ Webのフィルタリング コンテンツの変更 例: SPAMらしいメールのSubjectの先頭に文字列を追加 SALE! → **SPAM** SALE! フィッシングっぽいWebページには警告文を自動挿入

解決のアプローチ(3) Phishingサイト IPアドレス ブラックリスト Phishingサイト URLブラックリスト phisher victim Phishingメール 文面ブラックリスト

解決のアプローチ(4) フィッシングの実施に伴う社会的コストを上昇させる 警察当局の取り締まりの強化 被害企業による民事訴訟 釣られる人を減らす

解決のアプローチ(5) ユーザに対する教育の強化 S/MIMEの信頼モデルを考えてみる でも実際は… 理論上は… Root CAを信用する Root CAが保証するBridge CAを信用 Bridge CAが個人証明書を証明 公開鍵暗号系により、メールが個人証明書の秘密鍵によって 署名されたことを証明 メールの電子署名が真正であることを証明 ほとんど暗黙の前提 ソフトウェアの実装が正しく行われていることを信用 公開鍵暗号系と共通鍵暗号系を信用 でも実際は… みんなが信じるのは 鍵マークや“セキュア”シール テクノロジを信じて いるわけではないのでは? https://www

バランス: S/MIMEの場合 PKIの導入コスト 教育コスト 運用管理 etc… etc… リスク セキュリティ投資 どちらが大きいか? 秘密鍵の生成 電子証明書の購入 メールソフトの変更 教育コスト メール送信者側 メール受信者側 運用管理 電子証明書の管理 (CRL等の維持管理) ヘルプデスク運用 etc… 顧客における金銭的損失、 プライバシー侵害 顧客満足度の低下 ブランドイメージの低下 顧客対応に要するコスト コールセンター等 問題解決に要するコスト フィッシングサイトの運営IPアドレス所有者や上流サイトとの調整 法的対応コスト 法執行機関対応 弁護士費用 etc… どちらが大きいか?

フィッシングに 関して被害を 受ける可能性のある フィッシング対策アーキテクチャの構築 5つの視点において… フィッシングに 対して講じうる 対応策 の洗い出し フィッシングに 関して被害を 受ける可能性のある リスク の洗い出し リスク分析 (頻度と金額) 現実的に 実行可能な アプローチの実行

まとめ 被害に対する解決のアプローチは多岐にわたる 全ての対策にはコストがかかる 別の方法で真正性を確認する よくフィッシングに使われるテクニックに対抗する ユーザをフィッシングの脅威から隔離する フィッシングの実施に伴う社会的コストを上昇させる 全ての対策にはコストがかかる トレードオフの見極めが重要 現時点においてコストを負担するのは被害者 一般消費者による自衛策 著名Webサイト運営者の自衛策 全ての対策には教育が必須