SNS利用におけるアプリケーション連携の認証誤用防止手法

2017 Fiscal Year Research-status Report

• Project/Area Number: 16K00194
• Research Institution: Tokyo City University
• Principal Investigator: 関 良明 東京都市大学, メディア情報学部, 教授 (70735646)
• Project Period (FY): 2016-04-01 – 2019-03-31
• Keywords: 情報セキュリティ / アプリケーション連携 / 個人認証 / ログイン認証

Outline of Annual Research Achievements

スマートフォンの急速な普及とソーシャル・ネットワーク・サービス（SNS）の世界的な拡大に伴い，インターネット技術を活用した簡便なツールが，情報リテラシーの乏しい利用者層へも浸透し始めている．特に，毎回のログイン操作を省略してアプリケーションを自動的に連携する認証機能は，利用者がその仕組みを十分に理解していないと，個人情報やプライバシーに関する情報を第三者に漏えいする危険性がある．これに対し，本研究では，認証機能のリスクアセスメント，誤用検知技術，安全対策技術を新たに研究開発することを目的として着手した．
平成28年度は，SSL/TLS，Cookie，OAuth認証を誤用することで発生する，アプリケーション利用者，サービス提供者，第三者の被害（盗聴，不正アクセス）を，ユースケースの抽出によって顕在化させた．研究成果は，電子情報通信学会ライフインテリジェンスとオフィス情報システム研究会（LOIS）および2017年電子情報通信学会総合大会において発表した．前者の発表は，OAuth認証における認証と認可の仕組みを整理し，アプリケーションがSNSと連携する際に，ユーザが不用意に認可してしまうことによるリスクに関する成果である．後者の発表は，腕時計型デバイスの加速度センサを用いて，デバイスの取り外し検出手法を実験により考察したものである．
平成29年度は，アプリケーション利用者の視点からユーザ認証の研究に取り組み，友人関係が大学生のパスワード共有意識に与える影響の調査・分析を実施し，ウェアラブルデバイスを用いたユーザ認証を提案した．研究成果は，研究と議論の継続性を重視して，前年度と同様に，電子情報通信学会LOIS研究会で2件，2018年電子情報通信学会総合大会において4件発表した．これらの成果によりユーザ認証の誤った利用を解明し、防止する効果が期待できる．

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

平成28年度に実施したユースケースは，文献調査および仮想システムを構築して抽出した．リスクアセスメントでは，ユースケースに潜在するリスクを階層的に展開していくことで網羅的に抽出するRBS（Risk Breakdown Structure）を用いた．本手法で用いたRBSとリスクの4分類評価は，研究代表者が論文共著した「ビックデータを活用したサービスに関するリスクアセスメント」で既に実績がある．今回の計画では，終盤で研究者相互によるクロスチェック工程を加えて，評価の精度向上を図った．
平成29年度は，アプリケーション利用者の視点からユーザ認証の研究に取り組み，友人関係が大学生のパスワード共有意識に与える影響の調査・分析を実施した．研究成果4件を電子情報通信学会のLOIS研究会および総合大会で発表した．また，平成28年度から基礎検討を始めたウェアラブルデバイスを用いたユーザ認証の実装提案2件も電子情報通信学会のLOIS研究会および総合大会で発表した．研究成果は学会発表し，公開できるレベルまで到達しているので，おおむね順調に進展していると考えている．

Strategy for Future Research Activity

平成28年度に検討した評価に基づき，平成29年度はリスクアセスメントで，「リスク低減」に該当するユースケースに対して，リスクの発生可能性を下げるための誤用検知技術を考案し，技術の確立に向けて，質問紙調査によって社会的受容性を探究した．
平成30年度は，リスクアセスメントで，「リスク保有」「リスク回避」「リスク移転」に該当するユースケースに対して，具体的な安全対策を提言する．

Causes of Carryover

（理由）質問紙調査の委託に際して，競合会社による相見積もりと価格交渉を実施した結果，当初見積もりより廉価できた．
（使用計画）次年度使用額は，平成30年度に計画している質問紙調査の調査規模拡大に充て，調査精度の向上を図る．

Research Products

• [Presentation] 学生の情報セキュリティ意識に関する調査分析 －代理出席時のパスワード共有－ (2018)
  • Author(s): 澤 信吾, 菊地 拓翔, 熊谷 匠純, 関 良明
  • Organizer: 2018年電子情報通信学会総合大会
• [Presentation] 大学生の友人関係とパスワード/学生証共有に関する調査分析 (2018)
  • Author(s): 菊地 拓翔, 澤 信吾, 熊谷 匠純, 関 良明
  • Organizer: 2018年電子情報通信学会総合大会
• [Presentation] 学生のパスワード共有に関する調査分析 －友人関係を考慮した情報セキュリティ行動モデル－ (2018)
  • Author(s): 熊谷 匠純, 菊地 拓翔, 澤 信吾, 関 良明
  • Organizer: 2018年電子情報通信学会総合大会
• [Presentation] ウェアラブルデバイスを用いたキーガード自動制御 (2018)
  • Author(s): 永田 航平, 関 良明
  • Organizer: 2018年電子情報通信学会総合大会
• [Presentation] 大学生におけるパスワード管理の意識調査 ～ 友人関係を考慮した質問紙設計 ～ (2017)
  • Author(s): 熊谷 匠純, 菊地 拓翔, 澤 信吾, 加藤 菜美絵, 関 良明
  • Organizer: 電子情報通信学会技術研究報告
• [Presentation] 腕時計型デバイスを用いたユーザ認証維持手法の提案 ～ 加速度センサの活用 ～ (2017)
  • Author(s): 松下 海央, 永田 航平, 関 良明
  • Organizer: 電子情報通信学会技術研究報告