こんにちは梶です。2014/9/6（土）に第19回北海道情報セキュリティ勉強会（通称：セキュポロ）に参加してきましたのでレポートを書きました。 巷で騒がれているセキュリティ事件の「攻撃者がどのようなことを考えているか」、リスト型攻撃等の「パスワードの攻撃方法」、「フィッシングや自己防衛の方法」などについてお話を聞きました。 この内容を聞いて、北海道内の1件でもセキュリティインシデントが減ることを祈ります。 また、身近に迫るセキュリティについて対処の助けになることに期待します。

過度な程度と選択を

自己紹介

講師 　ソフトバンク・テクノロジー株式会社の辻 伸弘さん

• 元ペネトレーション（侵入）テスター　10年程度実施
• 現在はセキュリティ関連のリサーチ
• @ntsuji
• 実践Metasploit の監修などを実施

本日の目次

• 不正ログイン再考を求めて
• Phishing of life
• Hold your privacy
• さいごに

不正ログイン再考を求めて

パスワードの突破手法

• ブルートフォースディクショナリ→id pass-1,pass-2,pass-3 ....
• リバースブルートフォース→pass id-1,id-2,id-3....
• リスト型→id-1=pass-1,id-2=pass-2,id-3=pass-3....

なぜ多発しているのか？

• 一人が扱うID,Passwordの増加
• パスワードの鉄則（無理難題？）
• 長くて複雑なパスワード、定期変更の亡霊？
• パスワードは長くて複雑なパスワード、使い回しはやめよう！

アンケート結果（＊リサーチバンク　パスワード調べ）

参照元サイト

アンケート結果の概要

あなたがログインが必要なウエブサイトで使う平均的な文字数を教えてください。

結果から見ると、一般的に長いものを利用してる。

異なる文字種を使ってますか？

2種類文字種が多いが、若干もう少し多い方がよいのではないか？

パスワードの使い回しは？

7割同じか、2、3個のパスワードを使い回している。

2段階認証を知っているのか？

7割近くが知らない。

リスクベース認証や2段階認証が使いたくない理由。

手続きが面倒 ログインするのが面倒になるから

面倒や嫌な感情を持たないように進めることが必要。

どのようにパスワードを管理しているか？

女性は紙にメモが多い。 男性は自分で記憶。

最近狙われてきた理由

換金性が高いものが増えてきた。（いわゆるお金のにおいがするから。）

不正ログインの連鎖考察。

　あるサイトで、IDとパスワードを入手。 別サイトで、IDとパスワードを試行。 成功したものをリスト化して価値を上げる。

お金に困った人が攻撃者となり、ギフト券などを入手しお金を入手。

　　パソコンの前でお手軽に犯行が完結してしまう。 そのためリスト作成者にタドリ着かない。

不正ログインの過去と現在

過去

• 少数IPアドレスからアクセス。
• 国外からのアクセスが多数。
• 実質的被害が少ない。

現在

• 複数のIPアドレスからアクセス
• 国内からのアクセスが増加
• 実質的被害、二次被害が増加

馬鹿にできない二次被害

LINEなりすまし　詐欺被害6件確認

コンビニで店員が止めた！！草の根って大事！！

ちょっとした裏話

• リストを入手した方ら連絡。
• 件数が400万件
• 被害者のメアドも存在
• QQやYYで取引されたもの

リストサンプルを見せてもらった。

違和感

• にたようなパスワードが散見
• 脆弱なパスワードセットが少ない。

サンプルリストのメアドで検索してみた。 サンプルと同じリストが、とあるサイトに公開されてた。（パスワード部分はハッシュ化） サンプルのパスワードとハッシュと一致しなかった。詐欺師もいることがわかった。

勘所

• 自営部分は自分にしかできない。
• 被害はどんどん身近なものに
• 専門家だけの情報発信は限界。

おやつタイム

・北菓楼のシュークリーム(3種類ぐらいあった) ・苦手な方はバウムクーヘン

じゃんけん大会（今回は豪華すぎてメモが漏れてます。）

・トレンドマイクロ 「ジュエリーボックス」、Tシャツなど ・アトラシアン　Tシャツ、ボールペンなど

Phishing of life

フィッシングとは

Fishing →Phishing Phは電話の無料かけ説

Fishing + sophisticated 説

など複数の説がある。

最もメジャーな経路

切っても切れないもの「メール」 添付ファイルやリンクを記載し、情報詐称や巧みな文章を駆使 国内からもあるので気づきにくいものが増えてる。

メールと言えば・・・ 標的型攻撃メール対応訓練 標的型攻撃であると気づく 開封、クリック率を下げる。

訓練のやり方に問題があり、問題があると問題提起。

開封率に着目し、開封率1%（1/100）と10%（10/100）ではどちらが問題なのか？ 数字だけでははかれない。 10%が一般社員 1%が役員やシステム管理者

実際に行われたテスト

　100人にsnsの通知メールを装って送付し、7日以内に32人がクリックしなかった。 なぜ開かなかったのか？ 当該メールをみていない。16人 興味を引かなかった。9人 普段からその手のメールは開かなかった。7人

結局、見破ったのは0人

そもそも訓練なので 大切なのは開いたときにどうするのかを考える訓練が重要。 意味のない訓練をしている会社もある クリック率で上司の給料が左右されている会社 訓練に気づいた上司がメールの開封をしないよう呼びかけてしまう

ウィルス感染したらどうする？

　有線LANを抜くは周知されているが、無線LANはどうするのか理解していない人も多いのでは無いか？

フィッシングのテクニックその1

　バージョンの確認ページを装う Javaのバージョン確認サービスを装ったページにアクセスさせる このときアプレット実行の警告が出るが、よくわからずにクリックしてウイルス付きアプレット実行

フィッシングのテクニックその2

　https://wwww.twitter.com:@wwww.tvviter.com 後ろ側のアドレスに接続される @より前の部分だけを見て判断すると簡単にフィッシングサイトに誘導されてしまう 偽サイトをURLエンコードして隠す。

フィッシングのテクニックその3

　URL短縮

フィッシングのテクニックその4

　https://www.twitter.com/r?u=www.tvvitter.com Uより後ろにリダイレクト

　KALI Linuxを使ってSET (Social Engineering Tool Kit) 簡単な偽物サイトを作るDEMO

わざと、フィッシングサイトに引っかかってみたブログを公開

そっくりすぎて無理。 偽サイトについての注意喚起しても、気をつけるポイントを教えないとダメ 例えばネットバンキングサイトなら

• 乱数表を10回させられる。（正しいサイトは10回入力させない）
• 秘密の質問をお答えください。（正しいサイトは聞かない）
• メールで銀行名が「そな銀行」

勘所

• 注意には限界があり、曖昧
• 踏んだときのことを考える。
• 通常を知れば、異常がわかる。

Hold your privacy

前提として知ってほしいこと 匿名化、暗号化の技術は、攻撃者や犯罪者のみの技術ではない。 上手に利用して、自分自身を守る。

まずは整理

• 隠したい内容は何か？
• 誰にどこまで知られてもよいか？
• 実現する仕組みと技術

隠したい内容

• 通信の内容
• メタデータ
• 付随する情報

隠したいものによって対応する技術を考える。

誰にどこまで知られてものよいのか？

• アクセス元
• アクセス先
• 通信経路上

実現する仕組みと技術

• 暗号化
• 通信の中継

ツールを紹介

• 端末の暗号化：OS標準の機能、スマートフォンは、すべて暗号化して売却しても良いのではないか？
• メールの暗号化：PGP
• 一部のファイルを暗号化：TrueCrypt
• 通信の暗号化：Tor(The Onion Router)

Tor関連

• Tor Chat：匿名チャットやデータ交換が簡単に
• Onion Share(オニオンシェア)：1回ダウンロードで自動削除
• Tor VOIP：通話の暗号

Private VPN(匿名でネットに接続)

• VPN Tunnel
• ZanMate

無線LANのリスクについて

公衆無線LANのリスクとその低減策を知る（辻さんのコラム） コラム

OTR Off-the-Record Messageing

• オフレコチャット
• Pidgin

その他暗号化

• Text Secure：SNSの暗号化
• Crypt Cat (ブラウザプラグイン)

勘所

• 見ようと思えば見られる前提（公衆無線LANなど）
• もっと自衛の手段を学ぶ、広める
• これからは何も特別ではない。
• ＊包丁といっしょ→使い方しだい

さいごに

広義の攻撃者は、どんどん巧妙にそして私たちの身近に・・・ 単体の事象ではなく、点が線になる可能性を考慮。 ある手口で入手したものが他で利用されるかもしれない。 それがどこに向かうのか。

セキュリティを守る側は、相当不利です。 手口がどんどん進化する。

短所：守るポイントが多い 攻撃者側の人数に対して、被害者側の人数が多い。 長所：守るポイントが多い 手口に対して、対処する方法はある程度考えることができる。

辻さんのお気に入りの言葉（バットマンより）

人は誰だってヒーローになれる。傷ついた少年の方に上着を掛け世界は終わりじゃないと励ましてくれる男だ。

ちょっとでも周りに広めて、1件でも防止できれば良い。