_oketani_security_talk

(1)

安⼼・安全なSNSの使い⽅

http://www.yahoo.co.jp/

ヤフー株式会社桶⾕直樹

2016年2⽉27⽇

(2)

⾃⼰紹介

桶⾕直樹（おけたになおき）

2011年

2014年

ヤフー株式会社⼊社

情報システム部社内システム開発・運⽤

技術戦略本部SWAT

2015年

九州⼤学出向

サイバーセキュリティセンター

情報システム部

学内のセキュリティ／ネットワーク業務に従事

(3)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(4)

(5)

事例1：アイドルのSNSが不正アクセス被害

①個⼈情報持ち出し

②ID・パスワード推測

③不正ログイン（約120⼈）

出典元：東スポWeb 1⽉24⽇

http://headlines.yahoo.co.jp/hl?a=20160124-00000005-tospoweb-ent

(6)

事例2：LINE乗っ取りによる電⼦マネー詐取

今忙しい？

ちょっと⼿伝ってほしいんだけど？

おー、どうしたの？

コンビニで1万円分のXXXカードを

買ってきてもらっていいかな？

うん、買ってくるね

(7)

事例2：LINE乗っ取りによる電⼦マネー詐取

アカウント乗っ取り

なりすまし、知⼈にメッセージ送信

プリペイドカードの番号を要求

(8)

事例3：質問交流サイトを利⽤した「秘密の質問と答え」推測

質問交流サイト

初めて⾶⾏機で

⾏った場所は？

福岡だよ

サービスXのサイト

初めて⾶⾏機で⾏った

福岡

パスワード再設定

(9)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(10)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(11)

位置情報

SNSに投稿する前に確認

個⼈情報

それ、投稿して⼤丈夫？

(12)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(13)

何を、誰が、参照できるのか把握する

誰が

本⼈のみ

友⼈のみ

全体公開

何を

(14)

本⼈は⾮公開のつもりでも

故意・過失に関わらず、誰かが公開してしまう可能性も

• 投稿を写真に撮って共有

(15)

(16)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(17)

アプリに対してどのようなアクセス権限を与えていますか？

アプリXXXが連絡先への

アクセスを求めています

許可しますか？

(18)

アプリごとに必要最低限のアクセス権限を許可する

連絡先

カレンダー

写真

カメラ

位置情報

(19)

ある情報にアクセスできるアプリを確認する

(20)

あるアプリがアクセスできる情報を確認する

下にスクロールする

確認・設定したい

(21)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(22)

普段どのようなパスワードを使っていますか？

Username:

taro

Password:

(23)

「最悪なパスワード」2015年版ランキング

123456

password

12345678

qwerty

12345

123456789

football

1234

1234567

baseball

welcome

1234567890

abc123

111111

1qaz2wsx

dragon

master

monkey

letmein

login

princess

qwertyuiop

solo

passw0rd

starwars

出典元：⽶SplashData社「最悪なパスワード」2015年版ランキング

https://www.teamsid.com/worst-passwords-2015/

(24)

不正利⽤から⾝を守るために

What

Why

How

どんなパスワードが

なぜ危険か

どうすればよいか

を知る

(25)

キー配列

1. 他⼈に推測されやすい⽂字列は使わない

⽒名・ID

電話番号

⽣年⽉⽇

辞書の単語

AAAA

1234

同じ⽂字・連番

E

Q

W

1

2

3 A

S

D

(26)

1. 他⼈に推測されやすい⽂字列は使わない

What

Why

How

⽒名、電話番号、辞書の単語 …

他⼈に推測されやすい

他⼈が推測できないものにする

(27)

2. 複数の⽂字種を使う、⽂字数を⻑くする

もし、パスワードが数字4桁だったら？

0000

0001

…

9999

(28)

2. 複数の⽂字種を使う、⽂字数を⻑くする

4桁

6桁

8桁

10桁

英⼩⽂字

（26⽂字）

3 秒

37 分

17 ⽇

32 年

英⼤⼩⽂字

+ 数字

（62⽂字）

2 分

5 ⽇

50 年

20 万年

英⼤⼩⽂字

+ 数字 + 記号

（93⽂字）

9 分

54 ⽇

1,000

年

1,000

万年

現在の性能では

8桁でも不⼗分

、できるだけ⻑く

(29)

2. 複数の⽂字種を使う、⽂字数を⻑くする

What

Why

How

数字のみ、4桁 …

総当りで短時間に解読される

a-z A-Z 0-9 記号を使⽤する

8⽂字以上にする

(30)

3. 他のサイトと同じパスワードを使いまわさない

ID

パスワード

taro

123456

hanako

G5L6V6eIyR

jiro

Lg@dNi#e8c

漏洩

ID

パスワード

taro

123456

hanako

G5L6V6eIyR

jiro

Lg@dNi#e8c

ログイン試⾏

ID

パスワード

taro

123456

hanako

G5L6V6eIyR

jiro

Lg@dNi#e8c

ID

パスワード

taro

123456

hanako

G5L6V6eIyR

jiro

Lg@dNi#e8c

(31)

3. 他のサイトと同じパスワードを使いまわさない

What

Why

How

他のサイトと同じパスワード

漏洩時に不正利⽤の被害が拡⼤

サイトごとに別々にする

(32)

まとめ：強いパスワードを作るには

1. 他⼈に推測されやすい⽂字列は使わない

2. 複数の⽂字種を使う、⽂字数を⻑くする

3. 他のサイトと同じパスワードを使いまわさない

Yahoo! JAPANコーポレートブログでお知らせしています（1、3）

http://yahoojapanpr.tumblr.com/post/138015241652/password

(33)

パスワードの使いまわしを避けて管理するには

紙のメモ

電⼦ファイル

（パスワード付き）

パスワード

管理ツール

紙、パスワードの管理はしっかりと

出典元 IPA 2014年9⽉17⽇

https://www.ipa.go.jp/about/press/20140917.html

(34)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(35)

(36)

(37)

⼆段階認証の仕組み

攻撃者

利⽤者本⼈

ID・パスワードでログイン①

認証コード取得

（SMS、アプリ）

ログイン成功

認証コード

取得不可

ログイン失敗

認証コードでログイン②

(38)

⼆段階認証の別名

サービスによって名称が異なる

• ⼆要素認証

• 認証コード

• ワンタイムパスワード

ヤフー⼆段階認証

(39)

Yahoo! JAPAN ワンタイムパスワード

(40)

(41)

⼆段階認証を設定しよう – Facebook ログイン認証

(42)

⼆段階認証を設定しよう – Facebook ログイン認証

(43)

⼆段階認証を設定しよう – Facebook ログイン認証

-コードを受信する

(44)

⼆段階認証を設定しよう – Facebook ログイン認証

-ログインする

(45)

⼆段階認証を設定しよう – Facebook ログイン認証

-ブラウザを保存する

(46)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(47)

(48)

(49)

ログインアラート

(50)

(51)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(52)

不正アクセスに気付いたら

もし、パスワードが漏洩したら

もし、不正アクセスに気付いたら

(53)

その前に考えてみましょう

もし、財布を落としたら

何をしますか？

(54)

もし、財布を落としたら

キャッシュカード

クレジットカード利⽤停⽌

⽴ち寄った店舗・交通機関に連絡

警察署・交番に届出

(55)

すぐに対応するには

財布に何が⼊っているか

(56)

もし、財布を落としたら

状況把握

事後対応

• 財布の中⾝を把握しておく

• 現⾦はどのくらい⼊っているのか

• カード類は何が⼊っているのか

• ⾏動（⽴ち寄った場所）を把握しておく

• 警察・交番に届け出る

• カード類の利⽤停⽌⼿続きをする

• ⽴ち寄った店舗・交通機関に連絡する

(57)

もし、不正アクセスに気付いたら

状況把握

事後対応

• パスワードを変更する

• 外部アカウントの連携を停⽌する

• 利⽤しているサービスを把握しておく

• どのサービスを利⽤しているのか

• どの外部アカウントと連携しているのか

(58)

(59)

連携サービスを確認しよう Yahoo! JAPAN

-「外部アカウント連携/解除」

までスクロール

(60)

(61)

連携サービスを確認しよう LINE

-連動アプリ⼀覧

アプリの権限を確認

(62)

(63)

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

(64)

_oketani_security_talk

安⼼・安全なSNSの使い⽅

http://www.yahoo.co.jp/

ヤフー株式会社 桶⾕ 直樹

2016年2⽉27⽇

⾃⼰紹介

桶⾕ 直樹（おけたに なおき）

2011年

2014年

ヤフー株式会社⼊社

情報システム部 社内システム開発・運⽤

技術戦略本部SWAT

2015年

九州⼤学出向

サイバーセキュリティセンター

情報システム部

学内のセキュリティ／ネットワーク業務に従事

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

事例1：アイドルのSNSが不正アクセス被害

①個⼈情報持ち出し

②ID・パスワード推測

③不正ログイン（約120⼈）

出典元：東スポWeb 1⽉24⽇

http://headlines.yahoo.co.jp/hl?a=20160124-00000005-tospoweb-ent

事例2：LINE乗っ取りによる電⼦マネー詐取

今忙しい？

ちょっと⼿伝ってほしいんだけど？

おー、どうしたの？

コンビニで1万円分のXXXカードを

買ってきてもらっていいかな？

うん、買ってくるね

事例2：LINE乗っ取りによる電⼦マネー詐取

アカウント乗っ取り

なりすまし、知⼈にメッセージ送信

プリペイドカードの番号を要求

事例3：質問交流サイトを利⽤した「秘密の質問と答え」推測

質問交流サイト

初めて⾶⾏機で

⾏った場所は？

福岡だよ

サービスXのサイト

初めて⾶⾏機で⾏った

福岡

パスワード再設定

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

位置情報

SNSに投稿する前に確認

個⼈情報

それ、投稿して⼤丈夫？

安⼼・安全にSNSを使うために

不正アクセスから⾝を守る

状況把握

防御①

防御②

検知

事後対応

何を、誰に、発信しているのかを意識する

何を、誰が、参照できるのか把握する

ヤフー株式会社桶⾕直樹

桶⾕直樹（おけたになおき）

情報システム部社内システム開発・運⽤

出典元：⽶SplashData社「最悪なパスワード」2015年版ランキング