SlideShare a Scribd company logo

Social Engineering

Mocke Tech
Mocke Tech

ソーシャルエンジニアリングの考え方と、その基本的な実践方法の紹介

1 of 60
Download to read offline
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 1 ソーシャルエンジニアリング 高専カンファレンスin富山 渥美 清隆(BH)
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 2 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 3 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 4 始める前にしなければ ならないことがあります.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 5 (省略)
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 6 すみません, 本題入ります.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 7 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 8 テーマとの関係 Beyond the Border Between 文系 and 理系 参考 weblio: http://ejje.weblio.jp/content/social+engineering
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 9 テーマとの関係 勝手訳: 文系と理系の垣根を超えて 参考 weblio: http://ejje.weblio.jp/content/social+engineering
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 10 テーマとの関係 勝手訳: 文系と理系の垣根を超えて 融合 Social Engineering 社会工学 参考 weblio: http://ejje.weblio.jp/content/social+engineering
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 11 つまり,
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 12 使えるものは何でも使って 攻撃しようぜ(゚∀゚)キタコレ!!
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 13 昔からあるんだけどね... ● スパイ・諜報活動とか, ● トロイの木馬とか, ● ハニートラップとか, ● 美人局とか, ● and so on...
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 14 ex) トロイの木馬 出典 Wikipedia: http://ja.wikipedia.org/wiki/トロイアの木馬
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 15 さて,突然ですが,
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 16 自分の存在を 証明できますか?
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 17 自分の存在を証明する ● 身分証明書を使う – 偽造じゃない? ● 友人に示してもらう – 友人が存在する証明は? ● 住民票や戸籍謄本を示す – 役場って本当に存在するの? 絶対に存在すると信じられる絶対に存在すると信じられる 「信頼の起点」がない.「信頼の起点」がない.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 18 デカルトは考える ● 視覚,聴覚,嗅覚,味覚,触覚は全て悪魔の仕業 ● 1+1=2だって悪魔の仕業 ● いろいろな思いつきも悪魔の仕業 ● 映画「MATRIX」のような世界 ● 信じられるものは何もない! ● でも,それを考えている自分自身は否定出来ない
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 19 だから,
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 20 我思う,ゆえに我あり Cogito ergo sum
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 21 Are you sure?
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 22 自分は納得しても, 人を説得できない!
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 23 諦めよう... (´;ω;`)ブワッ
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 24 色即是空空即是色, この世は全て夢幻よ. 夢から覚めれば全て解決. カーツ!(by 錯乱坊)
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 25 改めて,人の存在証明 ● 残念ながら我々は夢から覚めません. 存在を求めるのは幻を求めるようなもの. ● それでも,話をすれば応えてくれる(と思える). ● 変顔すれば誰かが笑ってくれる(と思える). ● 叩けば痛い(と思える). ● 記録や記憶も一応ある(と思える). つまり,
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 26 コミュニケーションが相対的に 自分の存在証明をしてくれる.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 27 ゆるい関係... 素晴らしい
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 28 そこに別の意図を持った コミュニケータが現れたら...
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 29 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 30 ソーシャルエンジニアリングとは, コミュニケーションで人を動かし, 自分の意図した成果を得ること
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 31 ソーシャルエンジニアリング のための「その1」
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 32 自らの身を隠せ! (なりすまし)
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 33 電子メールの場合 ここを変えるだけ
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 34 郵便物では... 内容証明・配達証明郵便で, 勝手な差出人を書く
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 35 郵便物では... 郵便局員に聞かれても, 代理ですと言えば通る! (確認済)
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 36 注意 返信を期待するなら... 詐称しつつ受け取れる所が必要
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 37 ソーシャルエンジニアリング のための「その2」
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 38 ターゲットの徹底調査!
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 39 情報の取得 ● 好きな料理 ● レビュー ● 家族 ● スポーツチーム ● 興味・関心 ● 癖 ● 周囲の人の関係 オフラインからも盗る!オフラインからも盗る!
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 40 ソーシャルエンジニアリング のための「その3」
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 41 嵌めるための筋書き
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 42 筋書き ● 慈善福引受付担当者になりすまし ● ターゲットの社長に資料を郵送,以下のものが当 たると謳う. – 人気のレストランの食事券(社長がよく利用する) – 野球の試合の入場券(社長の応援チーム) ● 適当なタイミングで電話.詳細の連絡と登録のた め電子メールアドレスを要求.社長応える. ● トロイの木馬付きPDFファイルをメール送付. 出典 ITPro: 本当は怖い「ソーシャル・エンジニアリング」 http://itpro.nikkeibp.co.jp/article/Watcher/20121106/4353 82/?ST=security&P=1
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 43 つまり, ソーシャルエンジニアリングとは,
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 44 人をハックすること! Σ(゚д゚lll)
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 45 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 46 もう少し簡易な ケーススタディ2つ
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 47 ケーススタディその1(条件) ● ターゲット:α高専のパワハラ教授と被害学生 ● 目的:パワハラ教授の「私の講義を1回でも休んだ ら不可にしてやる」の口を塞ぎ,被害学生が安心 して外部の勉強会に参加出来るようにする. ● 期限:2週間 さて,皆さんならどうします? 病欠参加? 安心は出来無さそうですね. 校長意見箱? Time over
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 48 ケーススタディその1(筋書き) ● 攻撃者は機構本部の発言力のある情報系委員に なりすまし,その立場を活用 ● 機構本部に以下のように連絡 「おめでとうございます.この勉強会に参加できる のは特別に優秀な学生だけなので,是非広報しま しょう」 → α高専総務課と協議に入る
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 49 ケーススタディその1(筋書き) ● α高専情報処理センター長に以下のように連絡 「おめでとうございます.この勉強会に参加できる のは特別に優秀な学生だけなので,安心して参加 出来るようにご配慮下さい」 → 校内で協議 ● 挟むような情報伝達で学校全体を歓迎ムードにし て当該学生を送り出さざるを得なくする. \(^o^)/
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 50 ケーススタディその2(条件) ● ターゲット:Facebook上の特定ユーザ ● 目的:精神的に追い詰めるいじめをする. ● 期限:無期限 ただし,開始日を出来るだけ揃える さて,皆さんならどうします? ターゲットにされることも考えて.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 51 ケーススタディその2(筋書き) ● 特になりすまさず,攻撃者とターゲットの共通の友 人を活用 ● 共通の友人に,ターゲットの悪評を吹き込む. ● 共通の友人は,攻撃者に同情し,あるいは義憤に かられる. ● さりげなく,Facebookの設定変更を促す.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 52 ターゲットのメッセージを削除 選択 ターゲット
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 53 自分のメッセージを ターゲットに送らない クリック クリック リストにターゲットを 入れる
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 54 ケーススタディその2(筋書き) ● 共通ユーザがことごとくターゲットのメッセージに 無反応になる.「いいね」もくれない. ● 共通ユーザからのメッセージがターゲットに届か なくなる.「いいね」も出来ない. ● ターゲットはネット上でシカトされる状態となる. ((((;゚Д゚))))ガクガクブルブル ● 共通ユーザは罪悪感を持たない. ● 誰が裏で糸を引いているかも分からない.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 55 ターゲットにされてしまったら ● 急に反応が変わった友達を洗い出す. ● その人が本当に友達かどうか吟味する. ● 友達ではなければ,友達リストから外す. ● 友達だと思えば,メッセージ機能や別手段で状況 を確認する. ● 何かしないと,精神的に不安定になって危ない.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 56 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 57 何が問題なのか ● 人は脆弱なコミュニケーションによって支えられて いる. ● 脆弱だと感じていない人が多い. ● 難しい判断を避けたがる.肩書きなどテンプレート マッチングに走る. ● ちょっとくらい声色が違っても,最初のセリフに誘 導されてしまう.(正常性バイアス) ● and so on...
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 58 それは解決されるのか? ● 人はそんなに急に変われない. ● 誰でも攻撃者になれる材料は揃った. ● 今後,ますます被害者が増える. ● 秩序も法律も追いつかない. ● 暫くは混沌とした時代が続くのではないか?
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 59 私達に出来ることは無いのか? ● 普段から,人に興味を持って接する. ● 人やコンピュータに対して,「普段と何か違う」とい うことを感じる感性を持つ. ● 一人で抱え込まない.必ず誰かに相談する. ● 他者に自分の意思をはっきり伝える.
2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 60 おわり

Recommended

ソーシャルエンジニアリング
ソーシャルエンジニアリングソーシャルエンジニアリング
ソーシャルエンジニアリングKiyotaka Atsumi
 
Online programming examination
Online programming examinationOnline programming examination
Online programming examination
Mocke Tech
 
20120421 ADK in Kawasaki
20120421 ADK in Kawasaki20120421 ADK in Kawasaki
20120421 ADK in Kawasaki
Kenichi Ohwada
 
なぜ、受託開発会社がLeanStartupを言うのか
なぜ、受託開発会社がLeanStartupを言うのかなぜ、受託開発会社がLeanStartupを言うのか
なぜ、受託開発会社がLeanStartupを言うのか
toshihiro ichitani
 
Ekisupamail
EkisupamailEkisupamail
Ekisupamailさい ぞう
 
プログラムコーディングの準備体操
プログラムコーディングの準備体操プログラムコーディングの準備体操
プログラムコーディングの準備体操
Miwako Ichijo
 
Augmented realitynewstopics march2012
Augmented realitynewstopics march2012Augmented realitynewstopics march2012
Augmented realitynewstopics march2012
Kiyoaki Haba
 
勤怠管理の音声ガイド -- 音声によるUI/UXを考える
勤怠管理の音声ガイド -- 音声によるUI/UXを考える勤怠管理の音声ガイド -- 音声によるUI/UXを考える
勤怠管理の音声ガイド -- 音声によるUI/UXを考える
Mocke Tech
 

Recommended

ソーシャルエンジニアリング
ソーシャルエンジニアリングソーシャルエンジニアリング
ソーシャルエンジニアリングKiyotaka Atsumi
 
Online programming examination
Online programming examinationOnline programming examination
Online programming examination
Mocke Tech
 
20120421 ADK in Kawasaki
20120421 ADK in Kawasaki20120421 ADK in Kawasaki
20120421 ADK in Kawasaki
Kenichi Ohwada
 
なぜ、受託開発会社がLeanStartupを言うのか
なぜ、受託開発会社がLeanStartupを言うのかなぜ、受託開発会社がLeanStartupを言うのか
なぜ、受託開発会社がLeanStartupを言うのか
toshihiro ichitani
 
Ekisupamail
EkisupamailEkisupamail
Ekisupamailさい ぞう
 
プログラムコーディングの準備体操
プログラムコーディングの準備体操プログラムコーディングの準備体操
プログラムコーディングの準備体操
Miwako Ichijo
 
Augmented realitynewstopics march2012
Augmented realitynewstopics march2012Augmented realitynewstopics march2012
Augmented realitynewstopics march2012
Kiyoaki Haba
 
勤怠管理の音声ガイド -- 音声によるUI/UXを考える
勤怠管理の音声ガイド -- 音声によるUI/UXを考える勤怠管理の音声ガイド -- 音声によるUI/UXを考える
勤怠管理の音声ガイド -- 音声によるUI/UXを考える
Mocke Tech
 
最新ニュースを音読させる
最新ニュースを音読させる最新ニュースを音読させる
最新ニュースを音読させる
Mocke Tech
 
制御システムのための検知と監視
制御システムのための検知と監視制御システムのための検知と監視
制御システムのための検知と監視
Mocke Tech
 
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Mocke Tech
 
20181116.smart can cable_v2
20181116.smart can cable_v220181116.smart can cable_v2
20181116.smart can cable_v2
Mocke Tech
 
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
Mocke Tech
 
Slide
SlideSlide
Slide
Mocke Tech
 
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズムヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
Mocke Tech
 
MitM on USB -- introduction of USBProxy
MitM on USB -- introduction of USBProxyMitM on USB -- introduction of USBProxy
MitM on USB -- introduction of USBProxy
Mocke Tech
 
A trial investigation system for vulnerability on M2M network
A trial investigation system for vulnerability on M2M networkA trial investigation system for vulnerability on M2M network
A trial investigation system for vulnerability on M2M network
Mocke Tech
 
Making Portable Super Computer
Making Portable Super ComputerMaking Portable Super Computer
Making Portable Super Computer
Mocke Tech
 
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
Mocke Tech
 
20190808.kuruma iotlt.can cable
20190808.kuruma iotlt.can cable20190808.kuruma iotlt.can cable
20190808.kuruma iotlt.can cable
Mocke Tech
 

More Related Content

More from Mocke Tech

最新ニュースを音読させる
最新ニュースを音読させる最新ニュースを音読させる
最新ニュースを音読させる
Mocke Tech
 
制御システムのための検知と監視
制御システムのための検知と監視制御システムのための検知と監視
制御システムのための検知と監視
Mocke Tech
 
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Mocke Tech
 
20181116.smart can cable_v2
20181116.smart can cable_v220181116.smart can cable_v2
20181116.smart can cable_v2
Mocke Tech
 
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
Mocke Tech
 
Slide
SlideSlide
Slide
Mocke Tech
 
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズムヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
Mocke Tech
 
MitM on USB -- introduction of USBProxy
MitM on USB -- introduction of USBProxyMitM on USB -- introduction of USBProxy
MitM on USB -- introduction of USBProxy
Mocke Tech
 
A trial investigation system for vulnerability on M2M network
A trial investigation system for vulnerability on M2M networkA trial investigation system for vulnerability on M2M network
A trial investigation system for vulnerability on M2M network
Mocke Tech
 
Making Portable Super Computer
Making Portable Super ComputerMaking Portable Super Computer
Making Portable Super Computer
Mocke Tech
 
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
Mocke Tech
 
20190808.kuruma iotlt.can cable
20190808.kuruma iotlt.can cable20190808.kuruma iotlt.can cable
20190808.kuruma iotlt.can cable
Mocke Tech
 

More from Mocke Tech (12)

最新ニュースを音読させる
最新ニュースを音読させる最新ニュースを音読させる
最新ニュースを音読させる
 
制御システムのための検知と監視
制御システムのための検知と監視制御システムのための検知と監視
制御システムのための検知と監視
 
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
Smart CAN Cable -- Another proposal of intrusion prevention system (IPS) for ...
 
20181116.smart can cable_v2
20181116.smart can cable_v220181116.smart can cable_v2
20181116.smart can cable_v2
 
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
対向車線から飛んできたトラック、どう処理したい?(ネタ出し)
 
Slide
SlideSlide
Slide
 
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズムヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
ヘテロなクラスタ環境に適した 並列誤差逆伝搬アルゴリズム
 
MitM on USB -- introduction of USBProxy
MitM on USB -- introduction of USBProxyMitM on USB -- introduction of USBProxy
MitM on USB -- introduction of USBProxy
 
A trial investigation system for vulnerability on M2M network
A trial investigation system for vulnerability on M2M networkA trial investigation system for vulnerability on M2M network
A trial investigation system for vulnerability on M2M network
 
Making Portable Super Computer
Making Portable Super ComputerMaking Portable Super Computer
Making Portable Super Computer
 
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
無線ロータのセキュリティとセーフティ / Safety and security for remote control vibrators
 
20190808.kuruma iotlt.can cable
20190808.kuruma iotlt.can cable20190808.kuruma iotlt.can cable
20190808.kuruma iotlt.can cable
 

Social Engineering

  • 1. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 1 ソーシャルエンジニアリング 高専カンファレンスin富山 渥美 清隆(BH)
  • 2. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 2 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
  • 3. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 3 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
  • 4. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 4 始める前にしなければ ならないことがあります.
  • 5. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 5 (省略)
  • 6. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 6 すみません, 本題入ります.
  • 7. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 7 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
  • 8. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 8 テーマとの関係 Beyond the Border Between 文系 and 理系 参考 weblio: http://ejje.weblio.jp/content/social+engineering
  • 9. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 9 テーマとの関係 勝手訳: 文系と理系の垣根を超えて 参考 weblio: http://ejje.weblio.jp/content/social+engineering
  • 10. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 10 テーマとの関係 勝手訳: 文系と理系の垣根を超えて 融合 Social Engineering 社会工学 参考 weblio: http://ejje.weblio.jp/content/social+engineering
  • 11. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 11 つまり,
  • 12. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 12 使えるものは何でも使って 攻撃しようぜ(゚∀゚)キタコレ!!
  • 13. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 13 昔からあるんだけどね... ● スパイ・諜報活動とか, ● トロイの木馬とか, ● ハニートラップとか, ● 美人局とか, ● and so on...
  • 14. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 14 ex) トロイの木馬 出典 Wikipedia: http://ja.wikipedia.org/wiki/トロイアの木馬
  • 15. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 15 さて,突然ですが,
  • 16. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 16 自分の存在を 証明できますか?
  • 17. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 17 自分の存在を証明する ● 身分証明書を使う – 偽造じゃない? ● 友人に示してもらう – 友人が存在する証明は? ● 住民票や戸籍謄本を示す – 役場って本当に存在するの? 絶対に存在すると信じられる絶対に存在すると信じられる 「信頼の起点」がない.「信頼の起点」がない.
  • 18. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 18 デカルトは考える ● 視覚,聴覚,嗅覚,味覚,触覚は全て悪魔の仕業 ● 1+1=2だって悪魔の仕業 ● いろいろな思いつきも悪魔の仕業 ● 映画「MATRIX」のような世界 ● 信じられるものは何もない! ● でも,それを考えている自分自身は否定出来ない
  • 19. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 19 だから,
  • 20. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 20 我思う,ゆえに我あり Cogito ergo sum
  • 21. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 21 Are you sure?
  • 22. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 22 自分は納得しても, 人を説得できない!
  • 23. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 23 諦めよう... (´;ω;`)ブワッ
  • 24. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 24 色即是空空即是色, この世は全て夢幻よ. 夢から覚めれば全て解決. カーツ!(by 錯乱坊)
  • 25. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 25 改めて,人の存在証明 ● 残念ながら我々は夢から覚めません. 存在を求めるのは幻を求めるようなもの. ● それでも,話をすれば応えてくれる(と思える). ● 変顔すれば誰かが笑ってくれる(と思える). ● 叩けば痛い(と思える). ● 記録や記憶も一応ある(と思える). つまり,
  • 26. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 26 コミュニケーションが相対的に 自分の存在証明をしてくれる.
  • 27. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 27 ゆるい関係... 素晴らしい
  • 28. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 28 そこに別の意図を持った コミュニケータが現れたら...
  • 29. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 29 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
  • 30. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 30 ソーシャルエンジニアリングとは, コミュニケーションで人を動かし, 自分の意図した成果を得ること
  • 31. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 31 ソーシャルエンジニアリング のための「その1」
  • 32. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 32 自らの身を隠せ! (なりすまし)
  • 33. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 33 電子メールの場合 ここを変えるだけ
  • 34. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 34 郵便物では... 内容証明・配達証明郵便で, 勝手な差出人を書く
  • 35. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 35 郵便物では... 郵便局員に聞かれても, 代理ですと言えば通る! (確認済)
  • 36. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 36 注意 返信を期待するなら... 詐称しつつ受け取れる所が必要
  • 37. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 37 ソーシャルエンジニアリング のための「その2」
  • 38. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 38 ターゲットの徹底調査!
  • 39. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 39 情報の取得 ● 好きな料理 ● レビュー ● 家族 ● スポーツチーム ● 興味・関心 ● 癖 ● 周囲の人の関係 オフラインからも盗る!オフラインからも盗る!
  • 40. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 40 ソーシャルエンジニアリング のための「その3」
  • 41. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 41 嵌めるための筋書き
  • 42. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 42 筋書き ● 慈善福引受付担当者になりすまし ● ターゲットの社長に資料を郵送,以下のものが当 たると謳う. – 人気のレストランの食事券(社長がよく利用する) – 野球の試合の入場券(社長の応援チーム) ● 適当なタイミングで電話.詳細の連絡と登録のた め電子メールアドレスを要求.社長応える. ● トロイの木馬付きPDFファイルをメール送付. 出典 ITPro: 本当は怖い「ソーシャル・エンジニアリング」 http://itpro.nikkeibp.co.jp/article/Watcher/20121106/4353 82/?ST=security&P=1
  • 43. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 43 つまり, ソーシャルエンジニアリングとは,
  • 44. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 44 人をハックすること! Σ(゚д゚lll)
  • 45. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 45 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
  • 46. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 46 もう少し簡易な ケーススタディ2つ
  • 47. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 47 ケーススタディその1(条件) ● ターゲット:α高専のパワハラ教授と被害学生 ● 目的:パワハラ教授の「私の講義を1回でも休んだ ら不可にしてやる」の口を塞ぎ,被害学生が安心 して外部の勉強会に参加出来るようにする. ● 期限:2週間 さて,皆さんならどうします? 病欠参加? 安心は出来無さそうですね. 校長意見箱? Time over
  • 48. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 48 ケーススタディその1(筋書き) ● 攻撃者は機構本部の発言力のある情報系委員に なりすまし,その立場を活用 ● 機構本部に以下のように連絡 「おめでとうございます.この勉強会に参加できる のは特別に優秀な学生だけなので,是非広報しま しょう」 → α高専総務課と協議に入る
  • 49. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 49 ケーススタディその1(筋書き) ● α高専情報処理センター長に以下のように連絡 「おめでとうございます.この勉強会に参加できる のは特別に優秀な学生だけなので,安心して参加 出来るようにご配慮下さい」 → 校内で協議 ● 挟むような情報伝達で学校全体を歓迎ムードにし て当該学生を送り出さざるを得なくする. \(^o^)/
  • 50. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 50 ケーススタディその2(条件) ● ターゲット:Facebook上の特定ユーザ ● 目的:精神的に追い詰めるいじめをする. ● 期限:無期限 ただし,開始日を出来るだけ揃える さて,皆さんならどうします? ターゲットにされることも考えて.
  • 51. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 51 ケーススタディその2(筋書き) ● 特になりすまさず,攻撃者とターゲットの共通の友 人を活用 ● 共通の友人に,ターゲットの悪評を吹き込む. ● 共通の友人は,攻撃者に同情し,あるいは義憤に かられる. ● さりげなく,Facebookの設定変更を促す.
  • 52. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 52 ターゲットのメッセージを削除 選択 ターゲット
  • 53. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 53 自分のメッセージを ターゲットに送らない クリック クリック リストにターゲットを 入れる
  • 54. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 54 ケーススタディその2(筋書き) ● 共通ユーザがことごとくターゲットのメッセージに 無反応になる.「いいね」もくれない. ● 共通ユーザからのメッセージがターゲットに届か なくなる.「いいね」も出来ない. ● ターゲットはネット上でシカトされる状態となる. ((((;゚Д゚))))ガクガクブルブル ● 共通ユーザは罪悪感を持たない. ● 誰が裏で糸を引いているかも分からない.
  • 55. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 55 ターゲットにされてしまったら ● 急に反応が変わった友達を洗い出す. ● その人が本当に友達かどうか吟味する. ● 友達ではなければ,友達リストから外す. ● 友達だと思えば,メッセージ機能や別手段で状況 を確認する. ● 何かしないと,精神的に不安定になって危ない.
  • 56. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 56 アジェンダ ● 始める前に ● 我々は本当に存在しているのか? ● ソーシャルエンジニアリングとは? ● ケーススタディ ● 情報化社会の未来,あるいは過去
  • 57. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 57 何が問題なのか ● 人は脆弱なコミュニケーションによって支えられて いる. ● 脆弱だと感じていない人が多い. ● 難しい判断を避けたがる.肩書きなどテンプレート マッチングに走る. ● ちょっとくらい声色が違っても,最初のセリフに誘 導されてしまう.(正常性バイアス) ● and so on...
  • 58. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 58 それは解決されるのか? ● 人はそんなに急に変われない. ● 誰でも攻撃者になれる材料は揃った. ● 今後,ますます被害者が増える. ● 秩序も法律も追いつかない. ● 暫くは混沌とした時代が続くのではないか?
  • 59. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 59 私達に出来ることは無いのか? ● 普段から,人に興味を持って接する. ● 人やコンピュータに対して,「普段と何か違う」とい うことを感じる感性を持つ. ● 一人で抱え込まない.必ず誰かに相談する. ● 他者に自分の意思をはっきり伝える.
  • 60. 2012/11/17 (c) 2012 kiyotaka@ka-lab.jp 60 おわり