情報通信研究機構ネットワークセキュリティ研究所

安藤類央

JSSM 先端技術・情報犯罪とセキュリティ研究会　2013 年 9 月度

2013年のスマートフォンとソーシャルネットワークでの

セキュリティ技術のトレンドと分類

概要• 急速に発達・増加するシステム

• インターネットとソーシャルネットワークの違い

• スマートフォン普及の背景

• 境界防御の破綻　その１

• 境界防御の破綻　その２

• 新しい攻撃方法の背景と分類

従来の攻撃と新しい攻撃従来の攻撃• マルウェア• フィッシング• スパム• クロスサイトスクリプティ

ング

新しい攻撃• クリックジャッキング (LaaS)• De-anonymization ( 非匿名化）• SocialBot• Sockware• 標的型攻撃

ブラックリスト・境界防御である程度防げる

ブラックリスト・境界防御は無効化される

Socware と SocialBot

Socware: ソーシャルネットワーク上で不当な友達申請、ポスト、情報収集などを行う。socwares are fake and possibly damaing posts and messages from friends in social networks. socwares may lure in their victims by offering false rewards to users who install the socwares' related malicious facebook applications or visit the socwares' questionable website. after the user has cruised the socwares' website or install the relevant application, they as a result, and unknown to them, end up sending socware messages or posts to their friends, essentially assisting the socwares' viral spread.

Socialbots: socware を束ねたものあるいは、自動化・大規模化したもの。socialbots are automatic or semiautomatic fake profiles which mimic human behaviors in online social networks. in many cases, socialbots aim to harvest uesr personal data from social networks. by initiating friend requests to other users in the social network, who i many cases accept, the socialbots can also harvest the user's private data which is exposed to the user's friend only.

The socialbot network: when bots socialize for fame and moneyhttp://dl.acm.org/citation.cfm?id=2076746

Online Social Networks: Threats and Solutions Surveyhttp://arxiv.org/pdf/1303.3764.pdf

急激な技術進歩とセキュリティ• 技術革新は大昔から攻撃者と防御者の力関係を変化させて来た。ローマ帝国の絶頂期、ローマ軍が負け知らずだったのはその装備重曹歩兵と訓練が圧倒的に優れていたからである。あぶみが発明されると、騎馬戦が発達し、中世の騎馬騎士の時代が訪れる。ところが石弓が発明されると、騎馬騎士など簡単に倒せるようになる。米国の南北戦争では、北軍に鉄道と電信の技術があったことが大きな不均衡だった。

→ 　「セキュリティはなぜ破られたのか」　ブルース・シュナイアーhttps://www.schneier.com/book-beyondfear.html→ 　技術がセキュリティのバランスをくずす　「第５の戦場」　伊東寛

急激な技術進歩とセキュリティ① クラスブレーク標準化が進むと、同じ機能を持つ部分すべてを破壊するクラスブレークが可能になる。大勢が同じオペレーティングシステムを使っていることで感染が大規模化する。

② 非同期化（非逐次化）処理の順番が決まってきない非逐次処理の複雑なシステムが互いに密接に影響しあう。インシデントがドミノ倒しのようにすばやく広がり、抑制が難しい。例：２００３年１月韓国を襲ったコンピュータワームがシアトルの緊急電話回線をダウンさせた。

③自動化クラスブレークを見つければ自動化して攻撃を繰り返すことで、成功する確率が非常に低い攻撃でも利益になる場合がある。例）攻撃側からすれば、スパムメールやソーシャルボットは一日数十件成功すればよい自動化により、小さな攻撃が無視できなくなった。

→ 　「セキュリティはなぜ破られたのか」　ブルース・シュナイアーhttps://www.schneier.com/book-beyondfear.html

急激な技術進歩とセキュリティ④情報集約コンピュータネットワークにより情報集約が格段に進歩したが、集約点を狙われることにより情報漏えいが大規模・深刻化する。

⑤遠隔操作通信技術により遠隔操作技術が高度化したが、攻撃の性質が変化した。例）電話で詐欺が働けられるようになった。他国のコンピュータから企業に侵入できるようになった。現行の法律は攻撃者が被害者に近づいて攻撃することを前提としているものが多いため、対応が難しい。

→ 　「セキュリティはなぜ破られたのか」　ブルース・シュナイアーhttps://www.schneier.com/book-beyondfear.html

Attacker “leverages” … テコの原理技術進歩による①から⑤の攻撃者の能力拡大に共通しているのは、テコの原理による力の増大である。

技術が進むと一回の攻撃で可能になることが増え、攻撃者が強くなる。クラスブレークを見つけると同じ種類のシステムならどれでも攻撃できるため、攻撃者が強くなる。自動化ができれば同じ弱点を何回でも攻撃できるため、攻撃者が強くなる。遠隔作用と情報集約が進めば標的が増えるので、攻撃者が強くなる。

→ 　「セキュリティはなぜ破られたのか」　ブルース・シュナイアーhttps://www.schneier.com/book-beyondfear.html

旧来の攻撃（ DDOS 、マルウェア、パスワードクラッキング、ソーシャルエンジニアリング、脆弱性悪用）

主要サイトの改ざん（脆弱性悪用） サイト改ざん（マルウェア、サプライチェーン悪用）

情報漏えい（ Winny, Share, USBメモリ紛失盗用、メール誤送信）

巧妙な手口（フィッシング・ソーシャルエンジニアリング＋サイ改ざん）

特殊なマルウェア（ Conficker, Gumbler)

特殊な攻撃方法（ SQL インジェクション、 DNS キャッシュ）

大規模化 DDOS 　

特殊なマルウェア（ STUXNET) 　

２０００ ２００５ ２０１０

ブログ・掲示板

SNS

SNS2IP 電話

ソーシャルグラフのアプリケーションFacebook: Friend Wheel

http://apps.facebook.com/friendwheel/

友達のつながりをリング状に表示する。

トポロジーがスモールワールドに

似てくる！

Android マルウェアの検出と解析• 動的解析：実際に動作させて観測する。TaintDroid: An Information-Flow Tracking System for Realtime Privacy Monitoring on SmartphonesWilliam Enck, Peter Gilbert, Byung-gon Chun, Landon P. Cox, Jaeyeon Jung, Patrick McDaniel, and Anmol N. Sheth. In Proc. of the USENIX Symposium on Operating Systems Design and Implementation (OSDI), October 2010 in Vancouver

• 静的解析：デコンパイルやソースコードの検査をする。A study of android application securitySEC'11 Proceedings of the 20th USENIX conference on Security Pages 21-21William Enck

動的解析

Application code

Virtual machine

Native system libraries

Virtual machine

Application code

Network Interface Secondary Storage

MSG

Message level tracking

Variable level tracking

Method level tracking

File level tracking

taintDroid: http://appanalysis.org/

Android マルウェアの検出と解析Dalvik VM interpreter

taintDroid: http://appanalysis.org/

Android OS とアプリケーション

アクティビティ

ブロードキャストレシーバー

サービス

コンテンツプロバイダ

アプリ

区画化と関門

入室入館① 申請許可② 持込管理③入場受付

退館退室④持ち出し管理⑤退場確認

B 　事務室 A サーバ室

C 応接室 C 受付 B 会議室

C:公開区画

A: アクセス制限区画（特定メンバのみ入室可能）　 B:業務区画（社員、派遣社員入室可能）　 C:一般区画（訪問者、外来者の入室可能）

スター型とメッシュ型

C/S （クライアントサーバ）モデルトポロジー：スター型

P2Pモデルトポロジー：メッシュ型

SocialBot The socialbot network: when bots socialize for fame and moneyhttp://dl.acm.org/citation.cfm?id=2076746

Online Social Networks: Threats and Solutions Surveyhttp://arxiv.org/pdf/1303.3764.pdf