niitan×cafe×secの第6回目配信(2014.07.29)の際の資料。 前期総集編です。

1. 2014.07.29配信 総集編

2. これまでの放送内容

3. 第一回 PC遠隔操作
解説
松本さん(ネットエージェント)
加賀谷さん(IPA)

4. 第１回「ＰＣ遠隔操作事件」
第１回は片山祐輔容疑者が他人のＰＣを遠隔操作し、殺人予 告などを行った事件が題材。
事件の手法は、ＣＳＲＦとトロイの木馬型マルウェアの二つ。
いずれも、容疑者がある程度の知識・技術があったため犯行が 可能だった。
しかし、この遠隔操作の知識・技術は必ずしも悪いことに使わ れているのではない。要は使う人次第。
このような事件にあわないようにする最低限の対策は「信頼出 来ない場所で入手した出所不明のファイルを開くことを避ける」 ということである。

5. 第二回 遠隔操作アプリ
解説
加賀谷さん(IPA)

6. 第三回 LINE乗っ取り
解説
辻さん(ソフトバンクテクノロジー)
新井さん(トレンドマイクロ)

7. 第四回 オンラインバンキングのフィッシング
解説
相戸さん

8. 第４回「オンラインバンキングのフィッシング詐欺について・前 編」
第４回はゼミ生に届いたフィッシングメールやIPAの今月の呼び かけ、旬なニュースであったことから題材となった。
ゼミ生の作成した資料では、近年、被害件数・金額も急増して いることが分かる。
しかし、具体的な話の前に、オンラインバンキングとは何か？と いうのを知りましょうというのが今回の目的。
『放送前半の内容（オンラインバンキングのあれこれ）』
オンラインバンキングは多くの銀行でサービス提供されている インターネット通じて様々な銀行取引が可能なサービス。利用 者側、金融機関側ともに数々のメリットがある。
利用者の実態は社会人が多く、若年層の利用率は低い。

9. 第五回 オンラインバンキングのフィッシング
解説
山本さん(フィッシング対策協議会)
辻さん(ソフトバンクテクノロジー)

10. 続きまして…
『後半の内容（オンラインバンキングのシステムについて）』
専門家の方が送ってくださいました資料を元にオンラインバン キングの仕組みの知識を深める。
オンラインバンキングのシステムは勘定系システムとWebサー バを連携するハブによってつながっている。
しかし、自社専用のものを作る場合に製作費、保守費が高くな る。
なので、信用金庫の多くはNTTデータのデータセンター（千葉） を共同して使っているため、システムが出来上がっている。
システムの利用料を払えば、導入できる。

11. CSRF
クロスサイトリクエストフォージェリについて

12. 攻撃の原理を大まかに
•１攻撃者が、攻撃用のwebページを作成、公開する
•２第三者が、攻撃用のwebページにアクセスする
•３第三者は、攻撃者が用意した任意のHTTPリクエス トを送信させられる
•４送信させられたHTTPリクエストによって、攻撃者の 意図した操作が行われる
攻撃用のwebページはwwwに公開されたり、HTML形式 のメールとして送信されたりと、様々な形式を持っている

13. ちょっと具体的に原理を説明
•１攻撃が仕掛けられているサイト、もしくはメールを開く
•２そのメールの中で、別のhtmlが呼び出される
•３呼び出されたhtmlに組み込まれているonload属性により、htmlが読 み込まれるのと同時に、そのhtml内のフォームの送信ボタンが自動的 に押される
•４被攻撃サイトに自動的にアクセスが行われ、上記のhtmlのフォーム 内に指定された内容の書き込みが自動的に行われる
onload属性：そのページが読み込まれるのと同時に動作が行われるもの。 Body要素の中に記述される
ちなみにこれらの出来事は全て、仕掛けられているサイトやメール内に 存在する１ピクセル四方の小さなインラインフレームで行われる場合がほ とんどであるため、気付かれにくくなっている

14. 対策
•ログインが必要なサイトが被攻撃サイトである場合、ログインしてい なければ攻撃が届くことは無いので、そういったサイトによくありがち な「常にログインしておく」みたいな項目のチェックを外し、そのサイト への用が済んだところでログアウトしておくというのが好ましい
•HTML形式のメールにも組み込まれていることがあるらしいので、知 らないメールは開かないに越したことはない

15. 実際にあった、CSRFを使用した騒動
•「ぼくはまちちゃん」事件
2005年4月中旬ごろ、mixiにおいて、突如として「ぼくはまちちゃ ん！こんにちはこんにちは!!」という定型文が、投稿者の意図せぬ まま書き込まれるという事態が発生。
•横浜市小学校襲撃予告事件
もしかしなくても：パソコン遠隔操作事件
横浜市ウェブサイトの意見投稿コーナーに、同市保土ヶ谷区の小 学校への無差別殺人予告が投稿された事件。被害にあったパソコ ンを所有していた大学生が逮捕・起訴され保護観察処分となった が、のちに神奈川県警が誤認逮捕を認めて謝罪した。

16. XSS(クロスサイトスクリプティング）につい て

17. XSSとは
だいたいこんなもの
•外部から悪意のあるスクリプトを送りこんでそれを実行さ せること。
•外部からスクリプトを送りこまれたとき、それを実行してし まう脆弱性のこと。

18. そもそもスクリプトって？
プログラミング言語のひとつ
•ある動作をしてほしいとき、何回もそれを入力するのが面倒なので作られた。
•ある一定の動作をひとまとめにしたものと、それに対応した名前のリストが 集められたもの。
•リストの中にある名前を入力するだけで、それに対応した動作が行われる。

19. どんなところで使われているの？
•XSSに関係することとしては、JavaScriptというスクリプト言語がある。
•WEBページを作るときに使われている。
•時間によって表示する内容が変わったり、ボタンを押すと内容が変わったり するサイトなどを作るときに使われている。

20. XSSの原理
•掲示板やSNSのコメント欄など、文章を入力できるサイトがあるとする。
•そこにスクリプトを含んだ文章を入力して、書き込みが反映される。
•書き込んだページをみると、スクリプトを含んだ文章が文字ではなく、 スクリプトとして実行される。

21. XSSの対策
•スクリプトが実行されないようにする
•スクリプトの名前は、普通の単語と区別できるように<>や”などの特殊な文 字を利用したものになっている。なので、そういった文字が含まれないように すれば、スクリプトを埋め込めないようにできる。

22. XSSの具体的な手口

23. 1.違う人のサイトからURLで飛ばさせる方法
1.URLの中に「出力する内容」が含まれている標的のサイトがある。
2.その部分にスクリプトを含んだ内容を入力して、関係のないほかのサイト にURLを張り付ける。
3.そのURLから標的のサイトに行くと、ブラウザ上でスクリプトが実行される。

24. 1.直接標的となるサイトにスクリプトを打ち 込む方法
1.スクリプトを含んだ書き込みをすることで、対象のサイトにスクリプトを埋 め込む。
2.そのページをみた人のブラウザでスクリプトが実行される。

25. XSSによって引き起こされる悪意のある行動 例
•クッキーの値を取得あるいは設定することにより、セッションハイジャックする。
•強制的なページ遷移を起こさせ、クロスサイトリクエストフォージェリ対策を 回避する。取得したクッキーを攻撃者側でそのまま利用できない場合に用い られる手法。
•CSSのインポート機能を利用して不正なファイルをロードさせる。
•ページ全体を置き換えることにより、偽のページを作り出す。典型的には フィッシングに用いられる。
•フォームの送信先を置換することにより、入力を第三者サイトに送信するよ う仕向ける。

26. 実際に起こった事例
•Twitter
•ツイートされた内容の中にスクリプトが埋め込まれて、ブラウザでそのツイー トを含んだページが表示されると、同じ内容を打ち込んでツイートする、とい ういたずらが起きた。
•その内容からどんどんほかの人へと広がり、たくさんの人が被害を受けた。
•また、中身が改変されて、悪意のあるサイトに飛ばされたり、悪意のあるツ イート内容が含まれたりした。
•Youtube
•コメント欄にスクリプトが埋め込まれて、動画のページを開くとメッセージウィ ンドウが表示され、悪意のある文章が表示されるようになっていた。