1 / 101

平成 25 年度岩手県立大学 ウィンター・セッション

危険なインターネットと その対策技術. 平成 25 年度岩手県立大学 ウィンター・セッション. ソフトウェア情報学部 高田 豊雄. 自己紹介. 専門: 情報セキュリティ他 担当科目:  セキュリティ論、  数論と代数、他. 高田 豊雄. お花見. 冬期合宿 (岩手山青少年交流の家). 夏期合宿 (大沢温泉). 危険なインターネット?. 身近なインターネット. 電子メール、WWW、メッセンジャー、 SNS 常時接続環境 (ADSL,FTTH,WiFi ) ネットショッピング、電子申請 ストリーミング動画配信. 便利な世の中になりました …. 課題.

lawrence-ashton
Télécharger la présentation

平成 25 年度岩手県立大学 ウィンター・セッション

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 危険なインターネットとその対策技術 平成25年度岩手県立大学ウィンター・セッション ソフトウェア情報学部高田 豊雄

  2. 自己紹介 専門: 情報セキュリティ他 担当科目:  セキュリティ論、  数論と代数、他 高田 豊雄

  3. お花見

  4. 冬期合宿 (岩手山青少年交流の家)

  5. 夏期合宿 (大沢温泉)

  6. 危険なインターネット?

  7. 身近なインターネット • 電子メール、WWW、メッセンジャー、SNS • 常時接続環境 (ADSL,FTTH,WiFi ) • ネットショッピング、電子申請 • ストリーミング動画配信 便利な世の中になりました…

  8. 課題 みなさんもこれまでインターネットを利用している上で様々なことを見聞きしたり、体験していると思います。 それらのセキュリティに関する体験談、聞いた話、個人的な意見などを書いてください。

  9. インターネットの影の部分 Blaster (2003), Sasser(2004), 山田ウィルス,… • ウィルス、ワーム iesys.exe (new! (2012.06-))←遠隔操作ウィルス • プライバシーの侵害、詐欺事件 キーロガーによる銀行口座番号等窃取(2003)、 フィッシング、スマートフォンからの情報漏洩等 • 不正侵入、名簿流出 ソニー、7700万件以上の個人情報流出 (2011.04) 三菱重工業、参議院など (2011.09ごろ) • ホームページの改ざん アノニマス (財務省、最高裁判所、 霞ヶ浦土木事務所) (2012.06)

  10. 以下、岩手県立大学で行われている研究の取り組みについていくつか紹介していきます以下、岩手県立大学で行われている研究の取り組みについていくつか紹介していきます

  11. Part 1. 認知科学と個人認証

  12. 画像連想パスワード 研究事例(1) An Associating Image Based Password 福光 正幸 佐藤 優人

  13. 個人認証のむずかしさ 個人認証を実現する方式は大きく分けて • 記憶によるもの(パスワード、暗証番号など) • 所有物によるもの(カード、携帯電話など) • 身体的、行動的特徴によるもの(バイオメトリクス) などがあるが、どれも一長一短である。

  14. 覚えやすさ 破られにくさ パスワードによる認証の問題点 • パスワードを作成する際, • 記憶保持性(記憶の容易さ) • クラック困難性(他者からの推測の困難さ) という相反する要求がある。 両立がむずかしい

  15. この研究では パスワード作成時の記憶保持性とクラック困難性を両立させるため、本研究では、 • 画像を利用した語呂合わせパスワード作成手法 • パスワード作成を支援するシステム を提案した。

  16. 画像連想パスワードの提案 • 画像連想パスワードの作成手法とその例 • 画像(以下, ヒント画像)を用意 • ヒント画像からフレーズを考える • 例: 岩手県立大学は母校 • フレーズから語呂合わせパスワードを作成 • 例: IPUh@bok0 (岩手県立大学)‏

  17. 作成支援システム • 置換候補: (例:岩手県立大学は母校) • 英文字置換候補: (いわてけんりつだいがくはぼこう(bokou)) • 例: 「b」 ⇒ B, 8, |3, 等 • 単語置換候補: (いわてけんりつだいがくはぼこう) • 例: 「いがく」 ⇒medical science, medicine等 英文字置換候補 単語置換候補

  18. 画像と地図を用いた個人認証手法の提案 A Proposal of a User Authentication Method Using an Image and a Map 研究事例(2) 梅津 亮

  19. 研究の背景 • 自身が撮影した画像 • 自伝的記憶になり得る場所や人,出来事を思い出として撮影していることが多い • 自伝的記憶には場所の記憶が付随   ⇒ 撮影場所を想起することは容易

  20. 提案手法 • 画像から想起する地図認証手法 • 自伝的記憶には場所の記憶が付随している • 自身が撮影した画像から想起される撮影場所を,       地図を用いて回答することで認証

  21. コマまんがを使ったパスワード認証方式 研究事例(3) 小原 富美聡

  22. 問題 パスワード作成のむずかしさ • パスワード認証 →クラック困難性はユーザ次第 • ユーザ自身がクラック困難なパスワードを作成する必要 • クラック困難性についての知識 • どんなパスワードがクラックされにくいのか • クラックされにくいパスワードを作る方法 知識のないユーザはクラック困難なパスワードを作れない

  23. 方法 本研究では… • クラック困難性を確保するためにユーザの知識を必要としないパスワード認証 • 「クラック困難性」について知らない(意識しない)ユーザでもクラック困難性を確保できる認証 ユーザに複数のパスワードを作らせ、それを用いて認証する

  24. 方法 2コマまんが認証 • コマまんがを用いる • 複数のパスワードを使用することで知識の無いユーザでもクラック困難性を確保 • パスワード間に関連を持たせることで記憶保持性を向上 • 認証時にまんがを表示し、作成時の状況を再認させ、パスワードの再生を容易にする

  25. プロトタイプ 3コマまんがの作成 登場人物の向きの選択(3コマぶん) 目の選択 口の選択    (3コマぶん) 効果の選択 パスワードの登録 フキダシにパスワードを入力 パスワードを確認入力

  26. パスワード 作成の手間 記憶の容易さ パスワードの やぶられにくさ この方式は… • 3つのトレードオフを図ったものといえる。

  27. Part 2. セキュリティ確保とユーザの問題

  28. 情報活用環境を用いたソーシャルエンジニアリング対策教材の開発情報活用環境を用いたソーシャルエンジニアリング対策教材の開発 研究事例(4) 千葉 緑

  29. セキュリティと人間の問題 • 攻撃者はシステムの一番弱い所を突いてくる。 技術 セキュリティの確保 すべてが重要 社会 人間

  30. 研究の背景 • コンピュータ犯罪 • 愉快犯から金銭目的へと変化 • より金銭を得るための手段 • 人間の心理・行動を利用し情報を入手する ソーシャルエンジニアリング

  31. ソーシャルエンジニアリング? • ソーシャルエンジニアリングとは? • 人間の心理・行動を利用し情報を入手する手法 例) • なりすまし • 他人になりすまし、情報を不正に収集 • フィッシング • URL付きのメールを送り、偽サイトに誘導し、個人情報を盗む詐欺

  32. フィッシングの実例 (1) • 2005年7月、UFJ銀行の顧客あてに電子メールが送付される。 • メール中のリンクをクリックすると偽サイトに誘導される。 • 偽サイトでは口座番号、パスワード、氏名、クレジットカード番号、PIN番号等の入力が要求される。

  33. URLが怪しい フィッシングの実例 (2) amazon.com に偽装

  34. 本研究で行ったこと • ソーシャルエンジニアリングに対処するためには、ユーザ自身が • 攻撃手法を理解する • 攻撃かどうかを判断し対処する事が出来る ことが必要 そのため、本研究ではソーシャルエンジニアリング対策教材を開発

  35. 情報活用環境を用いた教材の例 ユーザーAの情報活用環境 • 使用頻度が多いのは、PC・携帯電話はどちらか PC ・ 携帯電話 • よく利用する機能はどちらか メール機能 ・ Web閲覧 • メールアドレスは 日時: 差出人: 件名: 2009/01/21 (金) KeitaiA@ketai-a.ne.jp 重要!携帯電話会社Aからアンケートのお知 日頃、携帯電話会社Aをご利用いただきありがとうございます。 この度、携帯電話会社Aのセキュリティーの向上に伴いまして、オンライン上でのご本人確認が必要となります。この手続きを怠ると今後のメール送受操作に支障をきたす恐れがありますので、一刻も素早いお手続きをお願いします。 http://www.keitai-a.co.jp/question chiba@keitai-a.ne.jp ユーザA

  36. スマートフォンセキュリティの学習を支援するGBS理論に基づく教材開発スマートフォンセキュリティの学習を支援するGBS理論に基づく教材開発 研究事例(5) 菊池 雄大

  37. 犯罪者側視点の導入 • 千葉の研究を発展させ、犯罪者側の視点を取り入れることで動機の理解を促し、学習効果向上を図った。

  38. 現在進行中の研究… • 男性脳、女性脳の違いに基づいたセキュリティ学習教材の開発 現在評価実験中…

  39. 研究事例(6) ユーザビリティ,ファンクショナリティの高い セキュリティスキャナの開発 Development of Security Scanner with High Usability and Functionality 吉本 道隆

  40. セキュリティ意識とセキュリティスキャナ 今日において、常時接続環境が手軽に手に入る現在、 不正アクセス件数は急激に上昇中である。 しかし、個人ユーザのほとんどはセキュリティ意識が薄い。 そのようなユーザのセキュリティ確保の為のツールとして セキュリティスキャナが知られている。

  41. セキュリティスキャナとは セキュリティスキャナとは ホストに存在するネットワークに関する 脆弱性(セキュリティホール)を発見するもの 脆弱性を発見し、ユーザにその結果を通知する。 ユーザはその結果を元にセキュリティホールを取り除く。 今日、様々なセキュリティスキャナが 無償、有償提供されている。

  42. 既存のセキュリティスキャナの欠点 しかし,今日出回っているセキュリティスキャナは 必ずしもどのユーザでも扱えるものではない • インストール、または操作が非常に困難である • 脆弱性が発見されてもどのようにすれば、 •  対処出来るのかわからない • 非常に高価で、個人が気軽に手を出せる価格ではない

  43. 本研究で行ったこと 初心者でも容易に操作可能で、可搬性に優れ、 セキュリティ確保の容易なセキュリティスキャナの開発を行った。 FlashとPerlを組み合わせ、Web上で動作させることにより →インストールが困難である →操作が難しい →対処法が分からない ユーザビリティの低さを改善 • プラグイン形式を採用することによる高い拡張性 高いファンクショナリティを得ることに成功

  44. ここでいったん休憩にしたいと思います。何か質問はありませんか?ここでいったん休憩にしたいと思います。何か質問はありませんか?

  45. 課題(再確認) みなさんもこれまでインターネットを利用している上で様々なことを見聞きしたり、体験していると思います。 それらのセキュリティに関する体験談、聞いた話、個人的な意見などを書いてください。

  46. Part 3. スマートフォン、その他携帯デバイス

  47. 携帯電話を用いた簡易な個人認証方式 研究事例(7) An Authentication Scheme by Using Mobile Phone 佐藤富和 伊東寛晋 瀬野尾 純

  48. パターンロックの問題 • パターンロック: スマートフォンの無断使用防止ツール • 最近、Smudge Attackという攻撃法が知られるようになった。

  49. 対話型個人認証 • あらかじめ何らかの秘密を打ち合わせしておく。(パスワード、暗証番号など) • 毎回送られる質問に対して、うちあわせておいた秘密を元に質問に返答する。 • 誰かが盗み聞き、覗き見しても、次の回で役に立たないため、なりすましは困難。

  50. 本研究では 携帯電話を使用し、様々な不正行為やコストを考慮した対話型の個人認証方式をいくつか提案し、その一部について実際に実装を行った。

More Related