WEKO3
アイテム
SMS通知機能を悪用した新たなパスワードリセット脆弱性の脅威評価
https://ipsj.ixsq.nii.ac.jp/records/210733
https://ipsj.ixsq.nii.ac.jp/records/210733904f84c5-a990-4c16-98c2-bf32fdfbcc6f
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-DICOMO2020020.pdf (1.6 MB)
|
Copyright (c) 2020 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2020-06-17 | |||||||||
| タイトル | ||||||||||
| タイトル | SMS通知機能を悪用した新たなパスワードリセット脆弱性の脅威評価 | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | システムセキュリティ | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 明治大学総合数理学部 | ||||||||||
| 著者所属 | ||||||||||
| 明治大学総合数理学部 | ||||||||||
| 著者名 |
柴山, りな
× 柴山, りな
× 菊池, 浩明
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 簡易かつ安全な多要素認証として広く用いられている SMS (Short Message Service) を用いた認証を悪用したパスワードリセット手法 PRMitM 攻撃が,2017 年 Gelernter らによって提案された.攻撃者は,ユーザに SMS で送信されたパスワードリセットコードをそれと気が付かせぬまま悪意のある中間者サイトに入力させることによって,アカウントを乗っ取る.本論文では,メッセージ冒頭を短く通知をする機能が,PRMitM 攻撃を増長させる可能性があることを主張する.送信されたコードを入力する際,コード以下の注意書や発信者名を読まないため被害につながる恐れがある.そこで,本研究では「警告の有無」,「冒頭に警告を記載するかどうか」,「警告の言語」の各要因が攻撃に対する被害率に与える影響を明らかにするためユーザ実験を行った.その結果,警告を下部に明記すること・英語であることは攻撃に対する被害を増加させること,警告の有無・記述位置・言語の各要因が攻撃に対する被害率に影響を与えることを示した.一方コードの確認・入力方法は被害率に大きな影響を与えない.本実験では利用率は 1 割以下であったが,今後認証コードの自動入力が普及すると,被害は増える可能性がある. | |||||||||
| 書誌情報 |
マルチメディア,分散協調とモバイルシンポジウム2039論文集 巻 2020, p. 126-133, 発行日 2020-06-17 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
