安 安全な SNS の使い ヤフー株式会社 2016 年 2 27 桶 直樹 http://www.yahoo.co.jp/
紹介 桶 直樹 ( おけたになおき ) 2011 年 ヤフー株式会社 社 情報システム部 社内システム開発 運 2014 年 技術戦略本部 SWAT 2015 年九州 学出向 サイバーセキュリティセンター情報システム部学内のセキュリティ / ネットワーク業務に従事 2
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 3
SNS とセキュリティの事例紹介 4
事例 1: アイドルの SNS が不正アクセス被害 1 個 情報持ち出し 2ID パスワード推測 3 不正ログイン ( 約 120 ) 出典元 : 東スポ Web 1 24 http://headlines.yahoo.co.jp/hl?a=20160124-00000005-tospoweb-ent 5
事例 2:LINE 乗っ取りによる電 マネー詐取 今忙しい? ちょっと 伝ってほしいんだけど? おー どうしたの? コンビニで 1 万円分の XXX カードを買ってきてもらっていいかな? うん 買ってくるね 6
事例 2:LINE 乗っ取りによる電 マネー詐取 アカウント乗っ取り なりすまし 知 にメッセージ送信 プリペイドカードの番号を要求 電 マネー詐取 (3 ヶ 間で 1,000 万円超 ) 7
事例 3: 質問交流サイトを利 した 秘密の質問と答え 推測 質問交流サイト 初めて 機で った場所は? サービス X のサイト 初めて 機で った 福岡 福岡だよ パスワード再設定 8
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 9
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 10
SNS に投稿する前に確認 それ 投稿して 丈夫? 個 情報 他 の写真 位置情報 11
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 12
何を 誰が 参照できるのか把握する 何を メールアドレス 写真 投稿内容 誰が 本 のみ友 のみ全体公開 13
本 は 公開のつもりでも 故意 過失に関わらず 誰かが公開してしまう可能性も 投稿を写真に撮って共有 公開アカウントと気付かずにリツイート 14
公開でも 全世界に発信している意識を持つ 15
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 16
アプリに対してどのようなアクセス権限を与えていますか? アプリ XXX が連絡先へのアクセスを求めています 許可しますか? 許可 拒否 17
アプリごとに必要最低限のアクセス権限を許可する アプリ A アプリ B 連絡先カレンダー写真カメラ位置情報 18
ある情報にアクセスできるアプリを確認する ios 9 の場合 19
あるアプリがアクセスできる情報を確認する 下にスクロールする 確認 設定したいアプリを選択する ios 9 の場合 20
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 21
普段どのようなパスワードを使っていますか? Username: taro Password: ********** 22
最悪なパスワード 2015 年版ランキング 123456 password 12345678 qwerty 12345 123456789 football 1234 1234567 baseball welcome 1234567890 abc123 111111 1qaz2wsx dragon master monkey letmein login princess qwertyuiop solo passw0rd starwars 出典元 : SplashData 社 最悪なパスワード 2015 年版ランキング https://www.teamsid.com/worst-passwords-2015/ 23
不正利 から を守るために What どんなパスワードが Why なぜ危険か How どうすればよいか を知る 24
1. 他 に推測されやすい 字列は使わない 名 ID 電話番号 年 辞書の単語 AAAA 1234 同じ 字 連番 1 2 3 Q W E A S D キー配列 25
1. 他 に推測されやすい 字列は使わない What 名 電話番号 辞書の単語 Why 他 に推測されやすい How 他 が推測できないものにする 26
2. 複数の 字種を使う 字数を くする もし パスワードが数字 4 桁だったら? 0000 0001 9999 10,000 通り総当りで試せばよい 27
2. 複数の 字種を使う 字数を くする 4 桁 6 桁 8 桁 10 桁 英 字 (26 字 ) 3 秒 37 分 17 32 年 英 字 + 数字 (62 字 ) 英 字 + 数字 + 記号 (93 字 ) 2 分 5 50 年 20 万年 9 分 54 1,000 年 1,000 万年 現在の性能では 8 桁でも不 分 できるだけ く 出典元 : 使 できる 字数と 桁数によるパスワードの最 解読時間 IPA(2008) https://www.ipa.go.jp/security/txt/2008/10outline.html 28
2. 複数の 字種を使う 字数を くする What 数字のみ 4 桁 Why 総当りで短時間に解読される How a-z A-Z 0-9 記号を使 する 8 字以上にする 29
3. 他のサイトと同じパスワードを使いまわさない ID パスワード taro 123456 hanako G5L6V6eIyR jiro Lg@dNi#e8c 漏洩 ログイン試 30
3. 他のサイトと同じパスワードを使いまわさない What 他のサイトと同じパスワード Why 漏洩時に不正利 の被害が拡 How サイトごとに別々にする 31
まとめ : 強いパスワードを作るには 1. 他 に推測されやすい 字列は使わない 2. 複数の 字種を使う 字数を くする 3. 他のサイトと同じパスワードを使いまわさない Yahoo! JAPAN コーポレートブログでお知らせしています (1 3) http://yahoojapanpr.tumblr.com/post/138015241652/password 32
パスワードの使いまわしを避けて管理するには 紙のメモ 電 ファイル ( パスワード付き ) パスワード管理ツール 紙 パスワードの管理はしっかりと 出典元 IPA 2014 年 9 17 https://www.ipa.go.jp/about/press/20140917.html 33
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 34
もし 他 にパスワードを知られてしまっても 35
段階認証で不正利 の危険を回避 36
段階認証の仕組み 利 者本 認証コード取得 (SMS アプリ ) ログイン成功 ID パスワードでログイン 1 認証コードでログイン 2 攻撃者 認証コード取得不可 ログイン失敗 37
段階認証の別名 サービスによって名称が異なる 要素認証 認証コード ワンタイムパスワード ヤフー 段階認証 38
Yahoo! JAPAN ワンタイムパスワード http://id.yahoo.co.jp/security/otp.html 39
Yahoo! JAPAN ワンタイムパスワード http://id.yahoo.co.jp/security/otp.html 40
段階認証を設定しよう Facebook ログイン認証 - 設定 法 41
段階認証を設定しよう Facebook ログイン認証 - 設定 法 42
段階認証を設定しよう Facebook ログイン認証 - コードを受信する (SMS) コードを する ( アプリ ) 43
段階認証を設定しよう Facebook ログイン認証 - ログインする ( ブラウザ ) ログイン承認コードを確認する ( アプリ ) コードを する ( ブラウザ ) 44
段階認証を設定しよう Facebook ログイン認証 - ブラウザを保存する ( ブラウザ ) 設定されていることを確認する ( アプリ ) 45
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 46
もし 不正アクセスされてしまっても 47
すぐ気付いて被害拡 を防 48
ログインアラート http://id.yahoo.co.jp/security/login_alert/ 49
ログイン履歴 http://id.yahoo.co.jp/security/login_history.html 50
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 51
不正アクセスに気付いたら もし パスワードが漏洩したら もし 不正アクセスに気付いたら 何をしますか? 52
その前に考えてみましょう もし 財布を落としたら 何をしますか? 53
もし 財布を落としたら キャッシュカードクレジットカード利 停 警察署 交番に届出 ち寄った店舗 交通機関に連絡 54
すぐに対応するには 財布に何が っているか 知っておく必要がある 55
もし 財布を落としたら 財布の中 を把握しておく 現 はどのくらい っているのか 状況把握 カード類は何が っているのか 動 ( ち寄った場所 ) を把握しておく 警察 交番に届け出る カード類の利 停 続きをする 事後対応 ち寄った店舗 交通機関に連絡する 56
もし 不正アクセスに気付いたら 利 しているサービスを把握しておく どのサービスを利 しているのか 状況把握 どの外部アカウントと連携しているのか パスワードを変更する 外部アカウントの連携を停 する 事後対応 57
連携サービスを確認しよう - Yahoo! JAPAN - 2016 年 2 23 現在 58
連携サービスを確認しよう - Yahoo! JAPAN - 外部アカウント連携 / 解除 までスクロール 59
連携サービスを確認しよう - LINE - 2016 年 2 23 現在 60
連携サービスを確認しよう - LINE - 連動アプリ 覧 アプリの権限を確認不要な場合 連動解除 61
まとめ 62
安 安全に SNS を使うために 何を 誰に 発信しているのかを意識する 投稿内容公開範囲アプリ権限 不正アクセスから を守る 状況把握防御 1 防御 2 検知事後対応 63
ご清聴ありがとうございました 64