snsを始めとした情報化社会における危険性とメリット
TRANSCRIPT
SNSを始めとした情報化社会における危険性とメリット Vol.1.1
2015-‐05-‐14 森下功啓
1
危険性
情報通信システムの利用者目線で記述しています。
2
乗っ取り 説明 • パスワードが簡単なフレーズな場合、総当り攻撃でパスワードを発見され、アカウントを乗っ取られる可能性があります
• Apple IDとAmazon IDとTwi:er IDの公開情報+電話申請でクラッカー(悪いITエンジニア)に乗っ取られた事件もあります – 現在は改善されています
• 多いのは、機械的に乗っ取られてその後スパム源になるケースです
対応 • キーワードを組み合わせたパスワードであっても、3つ以上のキーワードにしたり、一部に記号を入れたり、数字に置き換えることで比較的強いパスワードになります – 例:morishita30_2015_kumamot0 (最後、oオーが0ゼロになっている)
• 一番良いのは30桁以上の乱数パスワードを使うことです – 覚えきれないので、IDMやkeypassや1passwordなどのパスワード管理ツールを使いましょう
• 乗っ取られた場合 – 同じパスワードを用いている他のサービスのパスワードを早急に変更します – 次に、事務局へ電話・メールしてアカウントを停止させましょう – 乗っ取られて破滅した人は居ません(機械による乗っ取り以外では、写真を消される等の被害は出ます)
3
スパム配布源化 説明 • 何らかのアプリをインストール後に、自分のアカウントからスパムが配布される様になる – Facebookではよくあります
対応 • むやみにアプリをインストールしないで下さい • スパムが発信されていることに気がついたら、アプリをアンインストールしましょう
4
誕生日や住所の流出 説明 • SNSにおいて公開設定を誤り、誕生日が公開される事があります • SNSにおいて住所を不用意に登録してしまった上に公開設定を誤り、住所が公開される事があります • 投稿内容から誕生日や住所が判明する事があります • ストーカー被害を受けた場合、アパートの住所なら引っ越しで何とかなりますが実家だとそうもいきません • 何らかのアプリをインストール後に、非公開設定にしていた誕生日などの情報が流出します
– Facebookではよくあります – 目的はアカウント乗っ取りのためのパスワードフレーズ作成と思われます
対応 • 設定を見直し、公開しない • 住所を登録しない • 近所の写真や自宅からの風景を撮影した写真を投稿しない • むやみにアプリをインストールしないで下さい
5
行動の把握 説明 • 特定の人物に関する投稿写真やGPSの情報や投稿内容が数カ月分集まると、所在位置を80%程度の確率で当てることができます
• 例えば、「月曜〜金曜の正午に教員は学内に居る可能性が高い」の様に • ただし、スパイでない限り所在地はそう重要ではありません • 待ちぶせ事案を避けるために通勤/通学経路は秘匿した方が安心です • 泥棒を避けるために、自宅の留守は知らせない方が良いかもしれません • ちなみに、携帯電話キャリア(NTT docomoなど)は通信を実現するためにリアルタイムにユーザの位置を把握しています
• 過去、JRがsuicaの行動履歴を匿名化した後に販売しようとしたら匿名化の粒度がまだ細かいと問題になった事件があります
対応 • 1人ぐらしの場合、留守を示唆する書き込みをしない • 習慣化したことで位置が分かりそうなことは投稿しない
6
ストーカー 説明 • 執拗につけ回すなどの行動により社会的生活を乱される • SNSを利用していなくても発生します
対応
• 警察に通報し、逮捕する • 基本的に、ストーカーには拒否反応すらご褒美 • 無視することが最善手 • 少しでも不安を覚えたら、警察や身近な専門家に相談
– 相談記録を残す • ストーカーのアカウントをブロック • ストーカー行為を逐一メモ
7
交信内容の漏洩 説明 • 友人とだけのつもりで行った交信が漏れる
– 当の友人が漏えい源であるケースがほとんど • 漏れた内容に誹謗中傷が書かれていた場合などに炎上 • 漏れる可能性は常に0ではない
対応 • 漏れて致命傷に成ることを書かない • 誰が読んでも誤解を招かない記述を心がける
8
アカウント情報の漏洩 説明 • 個人名、パスワードなど • 半分はクラッカーによるハッキング被害 • もう半分は企業のシステム管理担当者による漏洩
– ベネッセの件が記憶に新しい • 漏れる可能性は0ではない
対応 • 自宅警備員(N.E.E.T.)であっても避けにくい事態 • 同じパスワードを利用しているサービスのパスワードを素早く変更 • 同じパスワードの使い回しを避ける
9
クレジットカードの不正利用
説明 • クレジットを利用して購入したら、不正に利用され身に覚えのない請求がくることがある
対応 • 窃盗と同じですので、カード会社に通報して下さい • 損害分は戻ります • 業者を訴えても恐らく無駄 • PayPalなどカード情報を業者に渡さずに支払いのできるサービスを利用するのも手です(PayPalだけカード情報をしっている状態)
10
リベンジポルノ 説明 • 付き合っていた元カレ・カノが、復讐心などによりポルノ写真を公開する
対応 • 警察に通報し、元カレ・カノを逮捕 • 可能ならサーバ管理者に写真を削除依頼
– ネット上から写真を完全に削除することは難しい • 彼氏だろうかなんだろうが、誰にもポルノ写真を撮らせない
11
アカハラ・パワハラ・マタハラ・セクハラ 説明 • 私的利用のつもりだったSNSに仕事上の関係者等がつながると窮屈に感じ始める
• 友だち申請やメッセージにより窮屈を通り越して不快に感じる
12
対応 • 友だち申請などしない
– 友だち申請したとしても、友達の友達が信頼できるかは別の話であることに注意 • アカハラ・パワハラ・マタハラ・セクハラ委員会に申し出て、解決を図る
– Facebookの場合メッセージ内容はダウンロードが可能ですので証拠として提出してください • メッセージが来ても無視
– メールでお願いしますと返信するなど • 公開レベルを調整する
– Facebookの場合、「知り合い」「知り合い以外の友達」「友達」「親しい友達」「自分のみ」など公開レベルを設定できる
就職時に考慮され得る 説明 • 一般的企業の新卒3年間離職率は3割程もあり、教育コストを下げるために自社の社風に合っているか検索される
• 社風に合うと判断されれば有利に働く • 反社会的な行動を公開していた場合、不利に働く
– バカッター事件などを思い起こして欲しい
13
対応 • 反社会的なことを公開しない
仮想人格を作られる 説明 • SNSを利用していないことに漬け込まれ、仮想人格をネット上に構築される
• あることないこと書き込まれ、社会生活を破壊される
14
対応 • 早い段階で弁護士や警察に相談
– 身近な人が犯人である可能性が高いため、相談するなら全く普段関係しない人が良い • アカウントの停止を運営に依頼
– 身分証明などが必要 • 名誉毀損などで被害届を警察に提出ー>警察の力を借りて情報収集ー>逮捕 • 商標と同じでアカウントだけ作っておいて損はない
公安組織による通信の監視 説明 • 国家権力による、治安維持を目的とした監視
– アメリカ、日本、韓国、全国家がほぼ実施 • 電話、メール、ファイル共有、メッセージ交換などあらゆるデジタルメディアが監視対象
– 通話内容の監視は既に長い歴史がある – 韓国はLINEの交信内容を監視していることを公表している – FacebookやGoogleなどのデータは公安局の申請により開示される
対応 • 非現実的対応
– 江戸の暮らしを行う – 金銭の授受を伴わない生活をする
• 事実上、監視を避けられない • 普通の人間には関係のない話(かもしれない) • スパイやテロリストにならない • どうしてもヒミツの通信を実施したい場合、自分で通信ネットワークを構築する
– 企業が社内ネットワークを構築するのと同じです – それほど手間はかかりません
15
国家によるPCやスマホのスパイ活動 説明 • 民間企業が販売するソフトウェア・ハードウェアであっても、国家の意志が介在しバックドア(ネット越しに監視・操作できる仕組み)を設けることが多々あります
• 例えば、レノボのPCには過去においてHDDとCPUとの間の暗号化された通信を傍受して暗号を解くチップが組み込まれていました – 最近もバックドアになりうるアドウェアがデフォルトでインストールされていたことが報道されています
対応 • スパイでなければ特に気にしない • 気味悪いなら、セキュリティ系の情報を収集して各国政府が取引停止にしているメーカーから買わないなどの手がある
16
ウイルス感染 説明 • SNSはもはや関係ない • PCやスマホにアプリをインストールすることで感染 • マウスが変な動きをしたり、データが消えるなどの遊び心のあるウイルスは減る傾向にある
• 次ページに挙げるボット化させるウイルスは増えている
17
対応 • ウイルス対策ソフトをインストールする
– これで防げるのは99%ほど – 流行し始めは0〜90%と見ておく
• 誰もダウンロードしていなさそうなアプリはクリックすらしない – せめて、インストールの前にネットで検索する
• 見慣れたサイトであったとしても、ブラウザのURL欄を見て間違いがないか、サーバーが認証されているかどうかを確認する
• 不審なマクロを実行しない
自分のPCがボット化 説明 • ボットとはロボットを語源としたもの • ウイルスに感染後、機械的にスパムを送るようになったり、特定のサーバを攻撃するようになります
– DDoS攻撃など – クラッカーが特定のサーバ(企業だったり、行政だったりする)に攻撃を仕掛けるまでは沈黙しているため発見が難しい
• PCやスマホだけでなく、監視カメラ内のLinuxマイコンやWi-‐Fiアクセスポイントが感染することもある
18
対応 • ウイルス対策ソフトをインストールする
– これで防げるのは99%ほど – 流行し始めは0〜90%と見ておく
• 誰もダウンロードしていなさそうなアプリはクリックすらしない – せめて、インストールの前にネットで検索する
• 見慣れたサイトであったとしても、ブラウザのURL欄を見て間違いがないか、サーバーが認証されているかどうかを確認する
• ネットワークトラフィックを監視して、おかしい場合はウイルスチェック – 最新のコンピュータウイルスは監視の目を逃れる術を持っているので、最終手段としてOSを再インストール
水飲み場型攻撃 説明 • 公官庁の役人や政治家がターゲット • ターゲットが興味ありそうなサイトをクラッカーが構築 • 上手く誘導しながら、ターゲット自らにインストールを促す • 特定のターゲットのPC・スマホでのみウイルスが活動するため、ウイルスバスターなど意味が無い(ワクチンを作れない)
19
対応 • ネットワークトラフィックや、データへのアクセス履歴をリアルタイムに監視 • 正直な所、ターゲットにされたら防げない
P2Pで著作権侵害 説明 • P2Pによるファイル交換ソフトを利用している場合、意図せず著作権を侵害することがある
20
対応 • 普通なら、利用しない • 研究目的で覚悟を持って利用するなら止めはしない
メール差出人詐称
説明 • メールは差出人のアドレスを誤魔化すことが簡単です • 差出人名と、実際の差出人が一致しないこともあり得ます
21
対応 • 基本的には、普段の差出人の文体をよく覚えておきましょう • もしくは、FacebookやLINEと同等のメッセンジャー機能を利用することです
ワンクリック詐欺 説明 • ネット上のリンクをクリックしたら「入会金を払え。嫌なら**へ連絡しろ。」などと表示される
• 返信したり、連絡を取るとカモにされる • メールでも似たようなケースがある
22
対応 • 冷静に、ブラウザのタブを閉じる • 連絡などしない
参考文献
• 個人情報漏洩 – h:p://www.nikkei.com/ar[cle/DGXLASDG09H77_Z00C15A5CR8000/
• Facebookの危険性 – h:p://matome.naver.jp/odai/2130720299046181301
– かなりの煽り文句がありますが、自己判断で
23
スマホでできるセキュリティアップ策
• 指紋認証を利用する – 指紋認証もプロにかかれば突破されるので注意
• 数メートル離れたところから撮影した写真から指紋を復元し、認証を突破できることが実証されている
• パスワードを定期的に変える • パスワード管理ツールを利用する – 1passwordがお勧め
• 見られて困るようなデータを基本的に保持しない
24
ちょっと変わった攻撃方法 PCのキーボードのキーを叩いた瞬間に、 • マザーボードとキーボードの間で有線通信が行われる。この際に漏れる電磁波を受信すると何という文字を打っているのか推測がつく。 – FBIの制式装備
• (または)机が振動する。この振動をスマホの加速度センサで監視すると、文字を打つ時間間隔から高精度に文章を推測できる。
25
メリット
26
情報化と現代 • 仕事ややりたいことを素早く実現するために情報化が進んできました • 否応なしに生活の中に情報機器やサービスが入り込んでいます • 情報化システムを利用しなければ、もはや食べていけません • 様々なシステムが日々考案され利用されていますが、それぞれの特性と攻撃方法と防御方法を知っておくことが大事です
• 致命傷を負う前に、小さな失敗をしながら試すことが大事ではないでしょうか
27