昨日(3月4日)Security Days2016
に行ってきて、なりすましを無効にするために必要なことを聞いてきた。
一言で行ってしまえば、電子認証と電子署名をすればよく、そのためには電子証明書
があればよいということ。
以下、その話をメモメモ
■なりすましを無効にするために必要なインターネットトラストの確立
・JIPDECの紹介
ほんじつの話題
JCAN証明書
サイバー法人台長ROBNS
・インターネットにおけるなりすましの脅威
頻発するサイバー攻撃
標的型攻撃のキャンペーン
→年金機構の情報流出も?
Emdiv(エンディビ)、日本をねらったマルウェア
メールによる標的型攻撃:なりすまし
・フィッシングサイトによる犯罪
地方の金融機関が徹底的にやられてる
悪用されたブランド件数
いまは本物っぽいのがおおい
・なりすましECサイトによる詐欺
Webサイトの模倣品:商品届かない
・インターネット上の認証
オンラインにおける個人認証とは
→ID・パスワードで今もやっている
→事前に登録が必要
公的個人認証サービス:マイナンバー
・オンライン手続きにおけるリスク評価及び電子署名・認証ガイドライン
→2010年公開
・電子署名がもたらす効果
契約、証拠:署名→電子証明書
・電子署名による電子契約
真正性の担保
・電子署名付きメール
電子証明書(公開鍵)を添えて電子署名付きメールを送信
S/MIME:なり済まし防止
・JCAN証明書
ビジネスで使いやすい電子証明書
JIPDECが認証局
・信頼の起点:トラストアンカー
電子的な認証の起点
公開鍵基盤PKIの認証基盤
→どこがしんじられる?
JCANはパブリック証明書:IEで確認できる
・なりすまし問題の本質
なり済まし攻撃への対策の現状
実際にメールドメインの正否を目視で確認できるかX
なり済ます側の漬け込みどころ
だます側にとっての犯行ツールはいろいろ
何が本物かわからない;自覚不足
なにが本物かの証:本物の証拠
積極的に示すための取り組み
・サイバー法人台帳ROBINS
法人情報を、社労士・行政書士などが確認し、インターネット上に公開するサービス
法人番号:3つ。日本語→英語名称、読み仮名も
ROBINSシール:本物ならそこに行く
・地方公共団体情報の公開
・なりすましメール対策
ドメイン認証 DKIM
→善意かわからない:サイバー攻撃用かも
ホワイトリスト(ROBINS):安心マーク
・安心マークとは
Webメールで提供
常陽、するが銀行、YAHOOメール、NIFTYメール
・インターネットの信頼性の確保
ホワイトリストの意義
なにが本物? リアルの世界ではやっている
ホワイトリストの作成と見える化
・欧州のトラストリスト
ヨーロッパ:標準をつくる。各国ごとにリスト
タイムスタンプ
電子郵便、トラストリスト いーあいだす(eIDAS)
・ROBINSとJCAN証明書
ROBINS;台帳
JCAN証明書:インターネットに入る時
今後の取り組みと検討課題
・インターネットトラストセンター
・安心マークの普及
・電子文書管理サービス
・日本版トラストリスト
に行ってきて、なりすましを無効にするために必要なことを聞いてきた。
一言で行ってしまえば、電子認証と電子署名をすればよく、そのためには電子証明書
があればよいということ。
以下、その話をメモメモ
■なりすましを無効にするために必要なインターネットトラストの確立
・JIPDECの紹介
ほんじつの話題
JCAN証明書
サイバー法人台長ROBNS
・インターネットにおけるなりすましの脅威
頻発するサイバー攻撃
標的型攻撃のキャンペーン
→年金機構の情報流出も?
Emdiv(エンディビ)、日本をねらったマルウェア
メールによる標的型攻撃:なりすまし
・フィッシングサイトによる犯罪
地方の金融機関が徹底的にやられてる
悪用されたブランド件数
いまは本物っぽいのがおおい
・なりすましECサイトによる詐欺
Webサイトの模倣品:商品届かない
・インターネット上の認証
オンラインにおける個人認証とは
→ID・パスワードで今もやっている
→事前に登録が必要
公的個人認証サービス:マイナンバー
・オンライン手続きにおけるリスク評価及び電子署名・認証ガイドライン
→2010年公開
・電子署名がもたらす効果
契約、証拠:署名→電子証明書
・電子署名による電子契約
真正性の担保
・電子署名付きメール
電子証明書(公開鍵)を添えて電子署名付きメールを送信
S/MIME:なり済まし防止
・JCAN証明書
ビジネスで使いやすい電子証明書
JIPDECが認証局
・信頼の起点:トラストアンカー
電子的な認証の起点
公開鍵基盤PKIの認証基盤
→どこがしんじられる?
JCANはパブリック証明書:IEで確認できる
・なりすまし問題の本質
なり済まし攻撃への対策の現状
実際にメールドメインの正否を目視で確認できるかX
なり済ます側の漬け込みどころ
だます側にとっての犯行ツールはいろいろ
何が本物かわからない;自覚不足
なにが本物かの証:本物の証拠
積極的に示すための取り組み
・サイバー法人台帳ROBINS
法人情報を、社労士・行政書士などが確認し、インターネット上に公開するサービス
法人番号:3つ。日本語→英語名称、読み仮名も
ROBINSシール:本物ならそこに行く
・地方公共団体情報の公開
・なりすましメール対策
ドメイン認証 DKIM
→善意かわからない:サイバー攻撃用かも
ホワイトリスト(ROBINS):安心マーク
・安心マークとは
Webメールで提供
常陽、するが銀行、YAHOOメール、NIFTYメール
・インターネットの信頼性の確保
ホワイトリストの意義
なにが本物? リアルの世界ではやっている
ホワイトリストの作成と見える化
・欧州のトラストリスト
ヨーロッパ:標準をつくる。各国ごとにリスト
タイムスタンプ
電子郵便、トラストリスト いーあいだす(eIDAS)
・ROBINSとJCAN証明書
ROBINS;台帳
JCAN証明書:インターネットに入る時
今後の取り組みと検討課題
・インターネットトラストセンター
・安心マークの普及
・電子文書管理サービス
・日本版トラストリスト
アクセス
トータル
ランキング
