More Related Content
More from Mocke Tech (12)
Social Engineering
- 2. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 2
アジェンダ
● 始める前に
● 我々は本当に存在しているのか?
● ソーシャルエンジニアリングとは?
● ケーススタディ
● 情報化社会の未来,あるいは過去
- 3. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 3
アジェンダ
● 始める前に
● 我々は本当に存在しているのか?
● ソーシャルエンジニアリングとは?
● ケーススタディ
● 情報化社会の未来,あるいは過去
- 7. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 7
アジェンダ
● 始める前に
● 我々は本当に存在しているのか?
● ソーシャルエンジニアリングとは?
● ケーススタディ
● 情報化社会の未来,あるいは過去
- 8. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 8
テーマとの関係
Beyond the Border
Between 文系 and 理系
参考 weblio: http://ejje.weblio.jp/content/social+engineering
- 9. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 9
テーマとの関係
勝手訳:
文系と理系の垣根を超えて
参考 weblio: http://ejje.weblio.jp/content/social+engineering
- 10. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 10
テーマとの関係
勝手訳:
文系と理系の垣根を超えて
融合
Social Engineering
社会工学
参考 weblio: http://ejje.weblio.jp/content/social+engineering
- 13. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 13
昔からあるんだけどね...
● スパイ・諜報活動とか,
● トロイの木馬とか,
● ハニートラップとか,
● 美人局とか,
● and so on...
- 14. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 14
ex) トロイの木馬
出典 Wikipedia: http://ja.wikipedia.org/wiki/トロイアの木馬
- 17. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 17
自分の存在を証明する
● 身分証明書を使う
– 偽造じゃない?
● 友人に示してもらう
– 友人が存在する証明は?
● 住民票や戸籍謄本を示す
– 役場って本当に存在するの?
絶対に存在すると信じられる絶対に存在すると信じられる
「信頼の起点」がない.「信頼の起点」がない.
- 18. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 18
デカルトは考える
● 視覚,聴覚,嗅覚,味覚,触覚は全て悪魔の仕業
● 1+1=2だって悪魔の仕業
● いろいろな思いつきも悪魔の仕業
● 映画「MATRIX」のような世界
● 信じられるものは何もない!
● でも,それを考えている自分自身は否定出来ない
- 25. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 25
改めて,人の存在証明
● 残念ながら我々は夢から覚めません.
存在を求めるのは幻を求めるようなもの.
● それでも,話をすれば応えてくれる(と思える).
● 変顔すれば誰かが笑ってくれる(と思える).
● 叩けば痛い(と思える).
● 記録や記憶も一応ある(と思える).
つまり,
- 29. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 29
アジェンダ
● 始める前に
● 我々は本当に存在しているのか?
● ソーシャルエンジニアリングとは?
● ケーススタディ
● 情報化社会の未来,あるいは過去
- 39. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 39
情報の取得
● 好きな料理
● レビュー
● 家族
● スポーツチーム
● 興味・関心
● 癖
● 周囲の人の関係
オフラインからも盗る!オフラインからも盗る!
- 42. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 42
筋書き
● 慈善福引受付担当者になりすまし
● ターゲットの社長に資料を郵送,以下のものが当
たると謳う.
– 人気のレストランの食事券(社長がよく利用する)
– 野球の試合の入場券(社長の応援チーム)
● 適当なタイミングで電話.詳細の連絡と登録のた
め電子メールアドレスを要求.社長応える.
● トロイの木馬付きPDFファイルをメール送付.
出典 ITPro: 本当は怖い「ソーシャル・エンジニアリング」
http://itpro.nikkeibp.co.jp/article/Watcher/20121106/4353
82/?ST=security&P=1
- 45. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 45
アジェンダ
● 始める前に
● 我々は本当に存在しているのか?
● ソーシャルエンジニアリングとは?
● ケーススタディ
● 情報化社会の未来,あるいは過去
- 47. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 47
ケーススタディその1(条件)
● ターゲット:α高専のパワハラ教授と被害学生
● 目的:パワハラ教授の「私の講義を1回でも休んだ
ら不可にしてやる」の口を塞ぎ,被害学生が安心
して外部の勉強会に参加出来るようにする.
● 期限:2週間
さて,皆さんならどうします?
病欠参加? 安心は出来無さそうですね.
校長意見箱? Time over
- 48. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 48
ケーススタディその1(筋書き)
● 攻撃者は機構本部の発言力のある情報系委員に
なりすまし,その立場を活用
● 機構本部に以下のように連絡
「おめでとうございます.この勉強会に参加できる
のは特別に優秀な学生だけなので,是非広報しま
しょう」
→ α高専総務課と協議に入る
- 49. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 49
ケーススタディその1(筋書き)
● α高専情報処理センター長に以下のように連絡
「おめでとうございます.この勉強会に参加できる
のは特別に優秀な学生だけなので,安心して参加
出来るようにご配慮下さい」
→ 校内で協議
● 挟むような情報伝達で学校全体を歓迎ムードにし
て当該学生を送り出さざるを得なくする.
\(^o^)/
- 50. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 50
ケーススタディその2(条件)
● ターゲット:Facebook上の特定ユーザ
● 目的:精神的に追い詰めるいじめをする.
● 期限:無期限
ただし,開始日を出来るだけ揃える
さて,皆さんならどうします?
ターゲットにされることも考えて.
- 51. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 51
ケーススタディその2(筋書き)
● 特になりすまさず,攻撃者とターゲットの共通の友
人を活用
● 共通の友人に,ターゲットの悪評を吹き込む.
● 共通の友人は,攻撃者に同情し,あるいは義憤に
かられる.
● さりげなく,Facebookの設定変更を促す.
- 54. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 54
ケーススタディその2(筋書き)
● 共通ユーザがことごとくターゲットのメッセージに
無反応になる.「いいね」もくれない.
● 共通ユーザからのメッセージがターゲットに届か
なくなる.「いいね」も出来ない.
● ターゲットはネット上でシカトされる状態となる.
((((;゚Д゚))))ガクガクブルブル
● 共通ユーザは罪悪感を持たない.
● 誰が裏で糸を引いているかも分からない.
- 55. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 55
ターゲットにされてしまったら
● 急に反応が変わった友達を洗い出す.
● その人が本当に友達かどうか吟味する.
● 友達ではなければ,友達リストから外す.
● 友達だと思えば,メッセージ機能や別手段で状況
を確認する.
● 何かしないと,精神的に不安定になって危ない.
- 56. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 56
アジェンダ
● 始める前に
● 我々は本当に存在しているのか?
● ソーシャルエンジニアリングとは?
● ケーススタディ
● 情報化社会の未来,あるいは過去
- 57. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 57
何が問題なのか
● 人は脆弱なコミュニケーションによって支えられて
いる.
● 脆弱だと感じていない人が多い.
● 難しい判断を避けたがる.肩書きなどテンプレート
マッチングに走る.
● ちょっとくらい声色が違っても,最初のセリフに誘
導されてしまう.(正常性バイアス)
● and so on...
- 58. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 58
それは解決されるのか?
● 人はそんなに急に変われない.
● 誰でも攻撃者になれる材料は揃った.
● 今後,ますます被害者が増える.
● 秩序も法律も追いつかない.
● 暫くは混沌とした時代が続くのではないか?
- 59. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 59
私達に出来ることは無いのか?
● 普段から,人に興味を持って接する.
● 人やコンピュータに対して,「普段と何か違う」とい
うことを感じる感性を持つ.
● 一人で抱え込まない.必ず誰かに相談する.
● 他者に自分の意思をはっきり伝える.