著者
坂本 一仁
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2021-SPT-43, no.20, pp.1-8, 2021-07-12

Apple 社は iPhone などのモバイル端末 OS である iOS14 からアプリトラッキング透明性 (App Tracking Transparency) を適用し,その一環として広告用識別子の IDFA (Identifier for Advertisers) の利用をユーザのオプトイン形式とした.アプリ事業者は IDFA を利用した複数事業者間での広告測定を行う場合,アプリユーザにトラッキングを許可してもらう必要がある.Apple 社の公式ドキュメントでは,トラッキングの許可を求める画面の前に追加の説明を表示してもよいとしているが,不要なデータアクセスに同意するようユーザを誘導したり,だましたり,強制したりするダークパターンは禁止している.本論文では,Apple のアプリ配信プラットフォームである App Store の日本の無料 Top100 アプリを調査し,IDFA 許可に関する画面においてダークパターンがどの程度存在するかを調査した.調査の結果,35 アプリで IDFA 許可に関する画面が確認され,31 アプリ(88.6%) で少なくとも 1 つのダークパターンが観測された.本論文の貢献として,これまでのダークパターン項目を横断的に整理し,IDFA のオプトイン化に伴うダークパターンの実態を早期に発見し,加えて新たな分類のダークパターンを定義した.
著者
坂本 一仁 室園 拓也 太田 祐一
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888744)
巻号頁・発行日
vol.2020-SPT-37, no.3, pp.1-8, 2020-05-07

同意管理プラットフォーム (CMP : Consent Management Platform) とは,個人データに対する個人の同意を管理するためのソフトウェアまたはサービスである.2018 年 5 月から EU 一般データ保護規則 (GDPR) が開始され,Cookie のようなオンライン識別子およびそれらに紐づくウェブ上の行動履歴も個人データとして扱われることになり,今日では多くのウェブサイトに CMP の導入が進んでいる.しかしながら,EU や米国における CMP 導入ウェブサイトの推移は明らかになってきている一方で,日本国内における状況は不透明である.また CMP のユーザーインターフェース (UI) に着目し,サイト利用者の認知に関するユーザスタディや,UI が GDPR に準拠しているかといった研究は行われているが,利用者の UI 操作が真に CMP の内部挙動に反映されているかといった詳細な調査は行われていない.そこで本稿では以降に示す 2 つの Research Questions (RQ) に対応する調査を実施した.RQ1 : 日本向けウェブサイトにおいて,CMP 導入は増加しているか? RQ2 : CMP サービスの挙動は正確であるか?調査は日本向けウェブサイト約 18 万URLに対して実施され,調査の結果,日本においても特定の CMP サービスが増加傾向にあること,詳細設定機能が確認された CMP のうち,約 65%は利用者の UI 操作が正確に内部挙動に反映されていないことが判明した.
著者
緒方 祐介 大森 芳彦 山下 高生 岩田 哲弥
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2016-SPT-17, no.16, pp.1-6, 2016-02-25

WEB サービスでの認証はパスワードによる認証では十分なセキュリティを確保することが難しくなってきている.パスワードにかわる認証方式として公開鍵と秘密鍵を用いた認証でセキュリティを高めた FIDO Alliance にて検討されている認証方式が注目されている.本稿では,FIDO の利便性を向上させた提案である認証鍵 リレー型キーストアに着目し,FIDO で達成されていたセキュリティレベルの実現を目標に脅威の分析を行いセキュリティ面での課題を明らかにするとともに,課題に対する対策について述べる.
著者
太田 裕也 金岡 晃 森 達哉
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2016-SPT-17, no.19, pp.1-6, 2016-02-25

視覚障害者や高齢者は今日の情報社会における基本ツールであるパソコンやウェブの利用においてハンディキャップを抱えている.このようなハンディキャップを技術的手段によって克服するためには,アクセシビリティの確保が急務である.一方,そのようなハンディキャップを持つユーザに対してもセキュリティを確保する必要がある.しかしながらアクセシビリティとセキュリティがどのような相関を持つかは自明ではない.本研究は特に視覚障害者に焦点をあて,アクセシビリティとセキュリティの相関に着目する.そのような視点に基づく研究は非常に数が少なく,著者らが知る限り唯一の例が 2015 年に米シラキュース大学の研究者らによって報告されている [4].本研究は上記の先行研究をベースとして,異なる人種,異なる言語,異なる支援ツールにおいても同様の結論が得られるかを検証する.具体的には 10 名の視覚障害者と 9 名の健常者からなる被験者グループを構成し,ウェブサービスの認証にかかわる操作をする際の成否や成功するまでに要する時間を計測する.実験の結果とインタビューを通じた質的分析を組み合わせ,認証を必要とするウェブページを利用する際に障害者が経験する困難性や解決すべき技術的課題を明らかにする.また,先行研究になかった新規な知見として,視覚障害者の中でも異なる世代間では結果に大きな差異が存在することを示す.
著者
副島 恵子 原田 要之助
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2016-SPT-21, no.11, pp.1-7, 2016-11-10

大規模な個人情報漏洩事件などが頻発する昨今,情報セキュリティインシデント (以下,インシデントという) 対応を行う CSIRT (Computer Security Incident Response Team) が注目を集めている.本研究では,CSIRT 活動と情報セキュリティマネジメントとの関係を明らかにし,組織の情報セキュリティ向上に寄与する CSIRT 活動のあり方について考察する.
著者
笠間 貴弘 安田 真悟 佐藤 公信 神薗 雅紀 小島 恵美 山口 孝夫 奈良 和春
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2019-SPT-32, no.26, pp.1-6, 2019-02-28

テクニカルスキルの習熟のみでは防ぐことができないヒューマンエラーが生死に直結する航空 ・ 宇宙などの業界では,ヒューマンエラーの軽減を目的としたノンテクニカルスキルの訓練 ・ 評価の取り組みが大きな効果をあげている.一方,サイバーセキュリティの分野においては,未だヒューマンエラーによりインシデントが拡大する事案が散在しており,ノンテクニカルスキルに対する訓練 ・ 評価も十分ではない.そこで本稿では,航空 ・ 宇宙分野などで蓄積されたノウハウをベースに,セキュリティインシデント対応に適した新たなノンテクニカルスキルマップを作成する.また,提案したノンテクニカルスキルマップをサイバー演習等に応用させ,ノンテクニカルスキルの評価を実現する方法について検討する.
著者
大岡 拓斗 松本 瞬 市野 将嗣 緑川 耀一 吉井 英樹 吉浦 裕
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2019-SPT-34, no.7, pp.1-8, 2019-07-16

移動履歴のプライバシーリスクを評価するために,移動履歴と SNS アカウントの照合方式を提案,評価した.先行研究には,移動履歴と SNS から交友関係が観測可能であること,移動履歴と SNS の対象者群が同一であることという制約があった.提案手法は,個々の移動履歴と SNS アカウントを機械学習でモデル化して類似度を判定することで,これらの制約を解消した.53 人の被験者の移動履歴と SNS アカウントを用いた評価により,被験者の SNS アカウントを 10 万の不特定多数のアカウントに混ぜ込んでも,1 週間の移動履歴 53件のうち 9 件について本人の SNS アカウントを 100 アカウント以内に絞り込めることを明らかにした.
著者
小野 諒人 神薗 雅紀 笠間 貴弘 上原 哲太郎
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2018-SPT-27, no.18, pp.1-6, 2018-02-28

ダークウェブとは主に匿名ネットワークを利用してインターネット上にオーバーレイネットワークで構築された Web サイト群のことを指す.ダークウェブはその高い匿名性からプライバシ保護や検閲回避等の目的で利用されている一方,違法薬物の販売サイトなどの違法サイトの構築にも悪用されている.ダークウェブに存在する Web サイトを把握することは容易ではなく,仮にその存在がわかったとしても実際の Web サーバの IP アドレスは秘匿されているため,不正サイトの摘発などの直接的な対策につなげることは難しい.そこで本稿では,Tor 秘匿サービス上のダークウェブを対象とし,HSDir の Snooping による Onion アドレスの収集と,秘匿サービスを利用しているサーバヘのスキャンを組み合わせたダークウェブ分析システムを提案 ・ 実装し,観測結果について報告する.
著者
堤 健泰
雑誌
研究報告セキュリティ心理学とトラスト(SPT)
巻号頁・発行日
vol.2014, no.16, pp.1-6, 2014-11-14

2011 年 3 月 11 日に東日本大震災においては,多くの犠牲者と数多くの問題が発生した.特に大きな問題を生み出したのは多くの犠牲者の身元確認であり,莫大な人手や時間が費やされた.その費やされた原因の一つとして,身元不明者の早期確認までのデータベース等によるデータの不統一性がある.DNA の災害時身元確認における利用も提案されているが,DNA というセンシティブな情報なだけに個人情報としての取り扱いや法整備が懸念される.しかし,歯科医療情報の 1 つである歯型模型 (診査用模型:スタディモデル) 情報は個人情報としては個人を特定されにくく,センシティブ情報には該当しないので,身元確認のための情報としての有効性というメリットを活かすことができる.本件は,災害対策時において歯科医療環境での個人情報の在り方と有効性についてセンシティブ情報に値する DNA 情報でメリット・デメリットの比較考察を行う.In the Great East Japan Earthquake, a number of problems with many victims occurred on March 11, 2011. Was created a particular problem is an identification of the victims of many, enormous time and labor has been spent. As one of the causes that were spent, there are inconsistencies in the data by the database, such as up to early confirmation of the unidentified person. Use in disaster identification of DNA has also been proposed, but the legislation and the handling of personal information is a concern only the sensitive information of DNA. However, (examinations for model: study model) tooth-type model, which is one of the dental medical information difficult to identify the individual as personal information is information, because it does not apply to sensitive information, effective as the information for the identification it is possible to take advantage of sex. This case makes a comparison discussion of advantages and disadvantages in the DNA information that deserves to sensitive information about the effectiveness and nature of personal information in the dental care environment in disaster recovery time.
著者
鎌田 悠希 川口 宗也 大東 俊博 高山 佳久
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2023-SPT-50, no.7, pp.1-6, 2023-03-06

本稿では,QR コードへのレーザ照射により,任意のタイミングで悪性サイトへ誘導可能な偽装 QR コードを生成する方法を提案する.まず偽装 QR コードと実験方法を説明する.次に,レーザ光によって高い照度を与えた領域を撮像した場合,カメラはその領域を明部として扱うという特徴を利用し,レーザ照射により悪性サイトへ誘導する確率を動的に変化させる偽装 QR コードの構成について検討する.また,実験結果に基づき,レーザ照射による偽装操作の防御策について考察する.
著者
宮田 章裕
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2018-SPT-28, no.2, pp.1-6, 2018-05-03

本稿では,著者の企業 ・ 大学両方における実経験に基づき,効率的な大学研究室マネジメントのためのコミュニケーションツールの要件を整理する.そして,この要件に基づいて,課題管理システムを主軸としてコミュニケーションツールの選定を行う.さらに,これらのツールを用いて実際に研究室をマネジメントした際の実例を紹介し,各ツールに対するユーザ評価を報告する.
著者
磯部 光平 長谷川 佳祐 伊藤 忠彦
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2018-SPT-29, no.50, pp.1-6, 2018-07-18

暗号鍵管理デバイスは,暗号技術を安全に利用するために広く使われてきた.昨今では,エンドユーザ自身が市販されている暗号鍵管理デバイスを調達し,任意のサービスで使用する事例も急激に増加している.そのような事例の代表例が 「仮想通貨用ハードウェアウォレット」 となる.本稿では,エンドユーザが暗号鍵管理デバイスを調達するうえで,考慮 ・ 注意すべき点の検討を行う.
著者
齋藤 凌也 山内 利宏
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2018-SPT-29, no.30, pp.1-8, 2018-07-18

SELinux のセキュリティポリシは設定が難しく,配布されている汎用的なポリシを用いる場合が多い.ここで,配布されているポリシは,個々のシステムに必要ない権限を許可している可能性がある.この問題を解決するため,我々は,実行対象のシステムに合わせて,不要なポリシを自動で削除する手法を提案した.しかし,この手法には,大きく二つの問題が存在する.一つ目は,ポリシのソースファイルが存在しない場合,適用できないという問題である.二つ目は,ポリシ削減の粒度が粗いという問題である.そこで,本稿では,上記二つの問題に対処するため,拡張した手法を提案する.拡張した提案手法では,SELinux が保持している SELinux Common Intermediate Language という中間言語で記述されたファイルに着目し,これを利用することで一つ目の問題に対処する.また,ポリシを削減する際の比較に,アトリビュートを元のタイプに置き換えたアクセスルールを利用することで,二つ目の問題に対処する.本稿では,拡張した手法とその評価結果について報告する.
著者
榎本 秀平 葛野 弘樹
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2020-SPT-40, no.1, pp.1-8, 2020-11-18

サイドチャネル攻撃はハードウェアのアーキテクチャ特性に基づいた攻撃手法であり,攻撃対象はクラウドにおけるサーバからモバイル端末まで多岐に渡る.近年,Meltdown / Spectreと呼ばれるサイドチャネル攻撃が深刻な問題とされており,従来,CPU ならびにオペレーティングシステムにより保護されていた機密情報の盗取が可能となる.防御のためにハードウェアに変更を加えることは非常に困難であり,ソフトウェアによる既存の防御手法は適用による性能の劣化を招く点が課題である.本研究では,Meltdown / Spectre の利用する FLUSH+RELOAD 攻撃に関する CPU 命令に着目し,攻撃緩和と検出を低オーバーヘッドで達成する新たな手法を提案する.提案手法では,FLUSH+RELOAD がリークデータの復元のために CPU キャッシュをフラッシュする点に着目し,プロセスのキャッシュフラッシュ命令実行をカーネルにて透過的に禁止することでサイドチャネル攻撃の緩和を実現する.提案手法を Linux にて実装し,評価実験の結果,攻撃プロセスによるサイドチャネル攻撃を緩和可能であること,ならびに既存の防御機構より 2.04% から 19.05% 低いオーバヘッドであることを確認した.
著者
坪根 恵 長谷川 彩子 秋山 満昭 森 達哉
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2021-SPT-41, no.43, pp.1-8, 2021-02-22

学校教育におけるタブレット端末や PC 利用の普及に伴い,児童がパスワードを利用する機会は増加している.その一方で,国内では,パスワード教育に関する統一した指針がなく,小中学校で用いている教材や,教材内に記載されている項目やレベルは様々である.本研究は,国内で発行されている児童向けセキュリティ教材の実態調査を実施する.具体的には,教科書及び地方行政機関が独自に発行しているパスワード啓発資料を調査し,特にパスワード・プラクティスに関連する内容分析を行なった.調査の結果,(1) 教科書は出版社によって取り上げている項目は大きく異なり,パスワード・プラクティスをそもそも取り上げていない教科書もあれば,2021 年現在では既に推奨されていないプラクティスを未だ更新していない教科書も確認できた.(2) 児童向けパスワード啓発資料を作成している都道府県はわずか 7 県であり,各資料が取り上げている項目にも差がみられた.これらの結果は,教育機関が採用する教材によって内容に大きな差があること,およびその差が児童が得るセキュリティ知識の差につながることを示唆する.
著者
込山 悠介 林 正治 加藤 文彦 大向 一輝 山地 一禎
雑誌
研究報告セキュリティ心理学とトラスト(SPT) (ISSN:21888671)
巻号頁・発行日
vol.2019-SPT-35, no.18, pp.1-7, 2019-09-12

オープンサイエンス推進に向けての政策的な動きが,国際的に活発化している.公的研究資金を受けた研究成果としての論文は原則オープンアクセスとすることに加え,そのエビデンスとなる研究データについても積極的に公開することが,研究者やその所属機関に求められている.国際的な研究データ流通の観点からも標準化された研究データ基盤の整備は必要不可欠だが,研究者の着想から論文執筆に至る研究ライフサイクルを一貫して支援し,研究公正も実現する汎用的な研究データ基盤を,国内全土の学術機関から利用できるよう設計にし,さらに階層構造化された共通規格上で専門分野のIT基盤構築を支援するフレームワークは十分に成熟されていない.本研究では,研究者と所属機関が研究データを管理・共有し,さらに研究データを検索可能なように公開することで研究推進を支援するオープンサイエンスのための共通基盤(NII Research Data Cloud: NII RDC)を開発することを目的とした.NII RDCは,研究データのライフサイクルに沿って,研究データを管理・公開・検索するための三つの基盤から構成される.研究データの扱いに関する分野特異性を考慮し,管理と公開のための基盤は,拡張性と柔軟性を満足するアーキテクチャを採用した.研究促進のみならず,特に研究機関として必要とされている研究公正にも対応できる機能を有する.検索機能は,多角的な研究成果の再利用が促進されるように,分野融合型の大規模な学術知識情報をもつ基盤として構成した.システム的な側面に加え,本格的な運用に向けてのサービスの段階的な実証実験の結果についても報告する.なお,NII RDCのソフトウェアの最新版はGitHub上でオープンソースソフトウェアとして公開している(http://github.com/RCOSDP).
著者
津田 侑 遠峰 隆史 井上 大介
雑誌
研究報告セキュリティ心理学とトラスト(SPT)
巻号頁・発行日
vol.2014, no.14, pp.1-6, 2014-03-20

個人情報やプライバシーに係る情報がユーザ自身により書き込まれる SNS では,攻撃者にそれらの情報を窃取される恐れがある.実際に,情報窃取用の不正なアカウントを作成しユーザと友達関係を構築することで,公開されたプロフィール情報以外に友達のみに限定公開されたものまでも窃取する方法が存在する.本研究では SNS の特性を活かし,SNS 上のユーザらが協力して不正アカウントを報告し合うシステムを提案する.本システムでは,友達申請を受けた時点でそのアカウントが不正なものかどうかの判定基準をユーザに示し,不正アカウントの報告を促す.報告された不正アカウントは他のユーザにも共有され,ユーザ同士で注意喚起することを可能とする.本研究の最後では,実際に 7 人の Facebook ユーザが本システムを用いて収集した不正アカウントを分析し,それらのプロフィール情報の特徴やそれらが行う友達申請行為に着目した考察を述べる.On online social networks (OSNs) which store huge personal data and privacy information by OSNs users, those information can be stolen by attackers. Actually, attackers create their accounts called "fake profiles" for collecting information. Then, the accounts connect to targeted users on OSNs in order that they aim at limited-access information only for targeted users' friends. In this paper, we propose a system for sharing and alerting to fake profiles among OSNs users, in which users can collaborate with their friends. This system shows a sence of fake profiles to users and encourages users to report the profiles to their friends as attackers. In addition, 7 existing Facebook users collect fake profiles using this system. The authors analyze these fake profiles. At last, we discuss features of their profile information and their friend-request actions.