Embed Size (px)
Citation preview
フィッシングサイト対策のこれまでの10年これからの10年宮本大輔 / 東京大学
前世紀の話“最初の” フィッシング攻撃AOhell (1995)
“最初の” フィッシング対策論文(1997)
L. James, “Phishing Exposed” 2005K. Rekouche “Early Phishing” 2011 E.W. Felten, “Web Spoofing: An Internet Con Game” 1997
対策- JavaScriptの無効化- ロケーションバーを常に表示・確認- セキュアな接続の表示を確認
フィッシング対策セミナー2016 2
前世紀から10年がたち・・・なぜフィッシングは有効なのか?• なぜ知識は身につかないのか?
• インターネット・ドメイン名の知識• セキュリティ(SSL)に関する知識
• 知識があっても「安全な振る舞い」が主たる行動の目的ではないから
• フィッシングにかかりやすいのは?• 誰もがかかる• 性別、年齢、コンピュータを使う時間など
に特に影響は見られない (2006)
色褪せぬ鉄則
R. Dhamija “Why Phishing Works”, 2006 産総研, “安全なWebサイト利⽤の鉄則”, 2007⾼⽊浩光, “正しいフィッシング対策について”, 2007
フィッシング対策セミナー2016 3
そして現在なぜフィッシングは未だに有効なのか• アドレスバーに表示される情報を
閲覧しないから
• 誰に対して有効なのか?• 男性より女性、特に18〜25歳 (2010)
• 女性かつ勤勉な性格 (2015)
• 性別と国籍、PC利用率は影響がある(2016)
そして不完全な「対策」が
S. Sheng “Who Falls Phish?”, 2010T. Halevi “Speer-phishing in the Wild”, 2015C. Iuga, “Baiting the hook”, 2016
フィッシング対策セミナー2016 4
フィッシング対策研究の主流
意思決定のサポートを⾏う
教育による解決 注意喚起による解決 検知による解決
意思決定に役⽴つ情報を提⽰
情報
偽物︖本物︖
フィッシング対策セミナー2016 5
教育によるフィッシング対策 (1)手法:コミカライズ、ゲーミフィケーション
対象:騙されやすそうなエンドユーザ
P. Kumaraguru, “Protecting people from phishing …” 2007S. Sheng “Anti-Phishing Phil … “, 2007 画像出展: antiphishing.jp
フィッシング対策セミナー2016 6
教育によるフィッシング対策 (2)
教材をPCからスマートフォンへ 対象を大人から子供へ
N. Asanka “Designing a Mobile Game for Home Computer Users to Protect Against Phishing Attacks, 2011
Jerry Chih-Yuan Sun, “Effects of integrating dynamic concept maps …” 2016
ポイント- 物語形式(ナラティブ型)- 静的より動的コンテンツ- 投票による結果表示
フィッシング対策セミナー2016 7
教育によるフィッシング対策 (3)• Stop Think Connect (USA)
• Stay Smart Online (オーストラリア)• 政府主導のサイバーセキュリティ教育• 子供向け対策
• エデュテインメント
• Klick Dengan Bijak (マレーシア)• 25万人に延べ1700時間の講義• 子供向け対策
• Cool & Fun• モラル、マナー、エチケット• ロールプレイモデル
フィッシング対策セミナー2016 8
注意喚起・インタフェースによるフィッシング対策 (1)• 見るべきところは証明書ですが・・
フィッシング対策セミナー2016 9
注意喚起・インタフェースによるフィッシング対策 (2)• アドレスバーの情報を強調するツールバー• SSL の情報を表示• ドメイン情報を表示• 特定のウェブサイトであることを表示
• 「本物」との見分けやすさ
E. Herzberg, “Trustbar”, 2004
Netcraft Toolbar
R. Dhamija. “Battle Against Phishing”, 2005
フィッシング対策セミナー2016 10
注意喚起・インタフェースによるフィッシング対策 (3)• HTTP Mutual Authentication•Man-In-The-Middle問題
•MITMに耐えられるには
• IETF (httpauth WG)で議論されている• Mutual Authentication Protocol for HTTP
HTTP要求 代理で送信(暗号化)
応答(暗号化)代理で応答(復号化)
https://tools.ietf.org/html/draft-ietf-httpauth-mutual-10
フィッシング対策セミナー2016 11
注意喚起・インタフェースによるフィッシング対策 (4)• Extended Validation SSL 証明書• 実社会のエンティティとの結びつきの強化
• DNSSECとの連携• DANE/TLSA Verification (RFC6698)
背景・認証局の危殆化(compromise)
例:DigiNotar事件(2011)
・DNSSECの運用(2010)
フィッシング対策セミナー2016 12
注意喚起・インタフェースによるフィッシング対策 (5)
Google Chrome 36
Title: The site’s security certificate is nottrusted!
You attempted to reach example.com, but theserver presented a certificate issued by anentity that is not trusted by your computer’soperating system. This may mean that theserver has generated its own securitycredentials, which Chrome cannot rely on foridentity information, or an attacker may betrying to intercept your communications. Youshould not proceed, especially if you have neverseen this warning before for this site.
Google Chrome 37
Title: Your connection is not private
Attackers might be trying to steal yourinformation from example.com (for example,passwords, messages, or credit cards).
1. 専門用語を避ける
2. 簡潔性を重視(正確性とのトレードオフ)
3. 具体的なリスクを描写
A.P. Felt “Improving SSL Warnings: Comprehension and Adherence”, 2015
フィッシング対策セミナー2016 13
注意喚起・インタフェースによるフィッシング対策 (6)
色と心理学 色とアイコンと文字
J. E. Dowling, “The Retina : An Approachable Part of the Brain,” 1987
色 意味緑 安心、安全⻘ 冷静⻩ 集中、注意赤 警戒、興奮
A. P. Felt, "Rethinking Connection Security Indicators", 2016
フィッシング対策セミナー2016 14
注意喚起・インタフェースによるフィッシング対策 (6)• パスワードによらない認証•ユーザビリティ、デプロイビリティ、セキュリティの兼ね合い
• 証明書に代わるものは?•サーバの証明書、サイトの証明書•現実での信頼、サイバー空間での信頼
J. Bonneau "The quest to replace passwords: A framework for comparative evaluation of web authentication schemes", 2012
フィッシング対策セミナー2016 15
検知によるフィッシング対策 (1)• 検知技術は大きく3通り• ブラックリスト型のURLフィルタリング• ユーザがアクセスするURLを、フィッシングサイトの
URLデータベースと照合• 検知精度は60% - 70% (2007)から 40%へ (2009)
• ホワイトリスト型のURLフィルタリング• 正規サイトのURLデータベースと照合
• ヒューリスティクスによる検知• フィッシングサイトらしさを計算し、閾値と比較• Uselessという評価 (2007) からの70%へ (2009)
Y. Zhang et al, “Phinding Phish: Evaluating Anti-Phishing Tools”, 2007S. Sheng et al, “An Empirical Analysis of Phishing Blacklists”, 2009
特徴の抽出
特徴の組み合わせ
フィッシング対策セミナー2016 16
検知に使われる特徴 (1)
URLの分析• IPアドレスで構築されるドメイン名• ⻑さ
• 平均すると74文字以上• ブランド名の有無• 記号の多さ
• ダッシュ (-)、ドット(.)• FQDNのドットの数
• 5 つ以上(CCTLD の場合 6 つ)• 多言語ドメイン
DNSの分析• レジストラに登録されてからの期間
• DNS TTL の短さ
• 登録の主体• 国情報
• DNS/IPアドレスと地理情報
フィッシング対策セミナー2016 17
検知に使われる特徴 (2)
テキストの分析• 自然言語解析
• キーワードの抽出+検索
• 固有名詞の抽出• その他のテキスト解析
• リンク先の URL• アーカイブの有無• モバイル端末チェックの有無• ICP登録内容(中国限定)
イメージの分析• 画像比較アルゴリズム
• Earth Mover Distance (2006)• Histogram Oriented Gradients (2016)
• 特定ロゴとの比較• ウェブ改ざん対策領域からの技術輸入
コンテンツ キーワード 検索
Y. Zhang, “CANTINA: …”, 2007, G. Xiang, “CANTINA+ …”, 2011中⼭⼼太, “模倣コンテンツの特性に基づくフィッシング検知⽅式の実装と評価”, 2007中⼭⼼太, “模倣コンテンツの特性に基づくフィッシング検知⽅式の誤検知防⽌”, 2007I.C.Liu “The Novel Features for …” 2016, Z. Yan. “A Genetic Algorithm Based…”, 2016
A.Y.Fu, “Detecting Phishing Web Pages with Visual Similarity …“, 2006A.S. Bozkir “Use of Hog Descriptors in Phishing Detection”, 2016K. Borgolte, “Meerkat: …”, 2015
フィッシング対策セミナー2016 18
検知に使われる特徴 (3)
var ftspzxjwygbc = "07300785076907840775078207860702077807670780077307870767077307710731077607670788076707850769078407750782078………
(snip)
function mljbkqwugvy() {
var ebfxyvdjzhcmr, mlsziqyw;
mlsziqyw=0;
ebfxyvdjzhcmr=0;
while(ebfxyvdjzhcmr<qmiekwxgrvnybcup(ftspzxjwygbc)) {
mlsziqyw=zbqkynhjdgsfxc(ftspzxjwygbc,ebfxyvdjzhcmr)-653;
aotlxfkdnbhsq+=uzmrpbst(mlsziqyw);
ebfxyvdjzhcmr=ebfxyvdjzhcmr+ebhnrlgdqi;}document.write(aotlxfkdnbhsq);}
mljbkqwugvy();
var ihuaplwebvcjo = "0139019401780193018401910195011101870176018901820196017601820180014001850176019701760194017801930184019101950………
(snip)
function okuaqebt() {
var wjkqafgurtbpeo, hbplgynjqrifd;
hbplgynjqrifd=0;
wjkqafgurtbpeo=0;
while(wjkqafgurtbpeo<pwlmgeyuivnc(ihuaplwebvcjo)) {
hbplgynjqrifd=qhupsmzafgb(ihuaplwebvcjo,wjkqafgurtbpeo)-13;
zmusoivqly+=soevgwbahfz(hbplgynjqrifd);
wjkqafgurtbpeo=wjkqafgurtbpeo+divoaexugm;}document.write(zmusoivqly);}
okuaqebt();
スクリプトの分析
フィッシング対策セミナー2016 19
特徴の組み合わせ• 機械学習の活用
• フィッシング検知を二値分類問題として解決
• この領域の課題•新しい「特徴」の発見と選択•比較用の「標準的な特徴」と「データセット」
B.S. Kumar, “A survey of the applications of text mining in financial domain”, 2016
フィッシング対策セミナー2016 20
フィッシングサイト対策のこれまでの10年エンドユーザの意思決定のサポート
教育- 教材開発
注意喚起- セキュリティインタフェース
検知- フィッシングサイトの通知
L: 0 (legitimate)
L: 1 (phishing)
(th: 0.5)
Label as “phishing”when L > th (0.5)
Otherwise“not phishing”
教育
注意喚起検知
フィッシング対策セミナー2016 21
フィッシングサイト対策のこれからの10年
IoTData Mining
Mass Customization
Industry 4.0
IoH
Phishing Personalization
Data Mining
フィッシング対策セミナー2016 22
エンドユーザの行動情報の観測 (1)• 意思決定のサポートから意思決定のプロセス監視へ•視線分析(生体情報センサ)とフィッシング対策
フィッシング対策セミナー2016 23
視線分析による意図抽出 (1)
フィッシング対策セミナー2016 24
視線の意図 “誘導型” と “情報探索型”• 誘導型(Navigational)• 画像の中の様々な情報を
特に目的なく閲覧している状態
• 情報探索型(Informational)• 画像の中の特定の情報を
明確な意思を持って閲覧している状態
フィッシング対策セミナー2016 25
視線分析による意図抽出 (2)
目的のエリアの設定 フィッシング検知との相関- 視線だけで80%の検知- 最初の10秒間の視線も重要
思考パターンの判別
フィッシング対策セミナー2016 26
D. Miyamoto, “Eye can tell:”, 2015
視線分析技術の進化と普及• ウェブカメラによる視線分析•前提:「赤外線カメラ」を用いた角膜反射法による方式• 装置自体の低価格化• ウェブカメラよる視線追跡
(WebGazer, PACE, TurkeyGaze)
• コモディティ化•ゲーミングノートへの搭載•VR デバイスへの搭載
M. X. Huang, “Building a Personalized Auto-Calibrating Eye Tracker from User Interactions” 2016P. Xu. “TurkeyGaze …”, 2015, A. Paputaski, “Web Gazer ….”, 2016
画像出展:webgazer.cs.brown.edu
フィッシング対策セミナー2016 27
フィッシングキャンペーンの予測
プロダクトポートフォリオ• 一般的なPPM
• サイバー犯罪におけるPPM仮説
犯罪グループの活動予測
問題児 花形
負け犬 金のなる木
フィッシング対策セミナー2016 28
市場成⻑率
シェア
問題児 花形
負け犬 金のなる木技術のコモディティ化
収益率
0day
• 組織構成• Core Member• Professional Enablers• Recruited Enablers• Money Mules
• マネーミュールの事例分析• 学校・ナイトクラブ・ストリート etc• コアメンバーとの直接的な繋がり• SNS を介した繋がり• 不正送金の5%
E.R. Leukfedt, “Cybercriminal networks, social ties and online forums …”, 2016IdentityVulnerability
セキュリティビッグデータ
データウェアハウス• トラフィック解析• マルウェア解析• フィッシング解析• スパム解析
機械学習ライブラリ
フィッシング対策セミナー2016 29
H. Tazaki “MATATABI …”, 2014P.H.B. Las-Casas, “A Big Data architecture for security data …”, 2016 Apache Hadoop + Apache Spark + H2O の例
パーソナライズの必要性
フィッシング攻撃• 危険な性格(考察)• 調和性、外向性、開放性という説
• 耐性への個人差(実験結果)
スピアフィッシング攻撃• 危険な性格(実験結果)• 勤勉性:効率・秩序に対するスピ
アフィシングの文面が自己制御を超えがち
• スピアフィッシングの成功率(実験結果)• 4.5倍の成功率(16%→72%)
フィッシング対策セミナー2016 30
意思決定 結果に影響 しない
時間に影響 PC利用時間 年齢、教育、職業
しない 性別、国籍 ブラウザの種類
J.L. Parrish, “A Personality based model…”, 2009C. Iuga, “Baiting the hook”, 2016
T. Halevi, “Spear-Phishing in the Wild…”, 2015T.N. Jagatic, "Social phishing", 2007
パーソナリティの主要五因子情緒不安定性、外向性、開放性、調和性、勤勉性
パーソナライズによるフィッシング対策 (1)
ユーザインタフェース• 画像記憶• OS・ハードウェアによるサポート
ホワイトリストによる検知• 個人向けホワイトリスト• よく見るサイト、使うサイト• 企業のPCで閲覧されるべきサイト
• 誤検知の対策• コンテンツ全体のブロック• フォームの無効化
フィッシング対策セミナー2016 31
C. Marforio, “Hardened Setup of Personalized Security Indicators...", 2016
A. Belabed., “A personalized whitelist approach”… 2012A. Laszka, “Optimal Personalized Filtering ...”, 2015C. Ardini "AuntieTuna …", 2016,
パーソナライズによるフィッシング対策(2)
D. Miyamoto, “HumanBoost: Utilization of Users' Past Trust Decision for Identifying Fraudulent Websites”, 2009H. Pareek, “Human Boosting”, 2013
ユーザの意思決定を分析に加える
機械学習を用いて各個人ごとに調整する- ユーザ固有の弱点の補強
- 求められるユーザ各個人向けの調整
弱判定器ユーザの真贋判定における意思決定
(フィッシングか否か)は、少なくとも二値を返す判定器と捉えられる
結合方法Boosting には、弱点を補強するように重
み付けを行う理論的特徴がある
安全?
iit
iit
t
tt yxhife
yxhifeZ
iDDt
t
)( )( )(
1
危険?
パーソナライズ
任意のエンドユーザにとって任意のエンドユーザにとって間違えやすいウェブサイトを正しく判定できる判定器が
高い重みを獲得する
フィッシング対策セミナー2016 32
パーソナライズとアクセシビリティ
視覚障害者とウェブ アクセシビリティ• コンテンツとアドレスバー
• スクリーンリーダの役割
フィッシング対策セミナー2016 33
OS ブラウザ APIWindows IE MSAA + UIA
Firefox MSAA + IAccessible2Chrome MSAA + IAccessible2
Mac OS Safari AXAPILinux Assistive Technology-Service
Provider Interface
ITU-T, “X.1212 (X.cogent)” (envisioned)
これからの10年の研究課題• 人間の能力の強化・理解•習慣(無意識下における行動)によるサイバーセキュリティ•認知心理学(行動から心理を予測)とサイバーセキュリティ•特定個人にあわせた教育・インタフェース・検知
• フィッシング対策「オープンデータ」の形成
• アウェアネスの向上と仮想現実・拡張現実
• 人工知能による情報処理・ウェブサーフィン
フィッシング対策セミナー2016 34
最後に• サイバーセキュリティと人的要因、組織的要因、
技術的要因
• フィッシング対策の自助、共助、公助
• フィッシングサイトの対策技術の変遷•特定の個人を守る技術、特定の言語、特定の教育 …•個々人に対する理解を深める技術
• 様々な分野からの技術導入
フィッシング対策セミナー2016 35
