security workshop 20131220
TRANSCRIPT
スマートデバイスと個人情報追跡
n スマートデバイスなどの普及により,便利になった反面,個人情報の収集・追跡が容易に
n 利点
n GPS・地図を利用した位置情報サービス
n 公共WiFiサービスなど
n 無料でネットサービスが利用出来る
n 欠点
n 個人情報が収集される
n 行動ターゲティング広告の対象となる
3
個人情報追跡事例n 2011年に,iPhone利用者の位置情報を定期的に,
Appleに送信していた事が判明
n Facebook, Twitterなどのソーシャルサイトが行っているウェブトラッキングと行動ターゲティング広告
n Android向けの多くのアプリケーションでの個人情報収集
n などなど枚挙に暇がない
4
ロングテール戦略n 売上が少ない商品にも注力した販売戦略
n パレートの法則
n 全体の大部分は,少数の要素によって生み出されている.8:2の法則.べき乗則.
n 2割の商品で,総売上の8割を生み出している
n 2割の社員が,仕事の8割をこなしている.などなど
n ロングテール戦略は,パレートの法則で言うところの,8割の部分にも注力した販売戦略
7
売上
商品の人気順位
2割の商品が8割の売上を生み出すマス向けの広告
個々としては売上の少ない商品ロングテール戦略
協調フィルタリングn アルゴリズム:単純ベイズ協調フィルタリング,Slope One, 特異値分解を用いた手法,などなど
n ユーザ間の類似度(メモリベース),あるいは商品の類似度(アイテムベース)を計算して,おすすめ商品を決定
9
多くの人が「人間失格」と「伊豆の踊子」を購入
A
Aさんが「人間失格」を購入→「伊豆の踊子」をおすすめ
協調フィルタリング行動ターゲティング広告に必要な要件
n ユーザの行動を追跡可能であること
n 個人の嗜好がわかるぐらい
n 特定のIDと長期間紐付けられると良い.実名は最高
n 大量のユーザ情報を収集可能であること
n ユーザ数が増えれば増えるほど,協調フィルタリングの精度が向上
n 精度が向上するほど広告効果が増す
10
ウェブトラッキングn Webの仕組みを利用した,個人情報追跡手法
n Web閲覧時に,トラッキングサイトは,トラッキング用のIDを発行し,閲覧ウェブサイを収集
11
トラッキングサイトTwitter, Facebook, 広告サイト
メインサイト
1.リクエスト
2.応答(HTMLファイル送信)
3. リクエスト
4. トラッキング用ID発行
ウェブトラッキング手法
n ID発行:HTTPクッキー,HTTP E-tag, Flashローカルストレージ,HTML5 ローカルストレージなど
n 情報収集:HTTP Referrer, HTTP GET 引数など
12
Tweetボタン,いいねボタンの挙動調査
n FirefoxプラグインのFirebugを利用して,Tweet
ボタン,いいねボタンが何をしているか見てみる
n Cookieの発行,HTTP Referrerの送信
13
Firebugを用いたHTTP通信調査
n Firefoxプラグイン
n 特定サイトを開いた時のHTTP通信が調査可能
n 他にもHTMLやCSSの調査,JavaScriptのデバッグにも利用可能
n https://addons.mozilla.org/ja/firefox/addon/firebu
g/
14
Tweetボタン,いいねボタンの挙動調査FirebugでのCookie調査
n Cookieタブで,どのサイトがCookieを設定してるか確認せよ
n また,複数のサイトを開いて,同じCookieが利用されているか確認せよ
20
Tweetボタン,いいねボタンの挙動調査platform.twitter.comの調査
n Tweetボタンのあるサイトを開いて,ネットタブからplatform.twitter.comにどのような情報が送信されている確認せよ
21
Tweetボタン,いいねボタンの挙動調査platform.twitter.comへの通信で注目すべき箇所
n Referer:閲覧元のURL情報
n Cookieのguest_id:トラッキング用のIDと疑わしきCookie
n User-Agent:利用しているPC情報
22
Tweetボタン,いいねボタンの挙動調査facebook.comへの通信で注目すべき箇
所
n platform.twitter.com通信と異なり,HTTPパラメータで,参照元URLが送信されていることが分かる
24
HTTPプロトコル(GET)
25
メソッド送信:GET /index.html?var=1 HTTP/1.1
n テキストベースのプロトコル
リクエストヘッダ送信:host: www.yahoo.co.jp
レスポンスヘッダ送信:content-length: 1024
改行送信
改行送信
レスポンスコード送信:HTTP/1.1 200 OK
ボディ送信
telnetを使った手動HTTP通信
n telnet www.yahoo.co.jp 80 などとすることで,httpサーバへ接続して,手動でリクエストを送信可能
n 接続後,GET / HTTP/1.0 と入力して改行を2回入力
n 80はhttpサーバのポート番号.基本的に80番ポートで待ち受けしている
26
$ telnet www.yahoo.co.jp 80
Trying 203.216.251.233...
Connected to www.g.yahoo.co.jp.
Escape character is '^]'.
GET / HTTP/1.0
HTTP/1.1 200 OK
Date: Thu, 19 Dec 2013 07:30:48 GMT
P3P: policyref="http://privacy.yahoo.co.jp/w3c/p3p.xml", CP="CAO DSP COR CUR ADM DEV TAI PSA PSD
IVAi IVDi CONi TELo OTPi OUR DELi SAMi OTRi UNRi PUBi IND PHY ONL UNI PUR FIN COM NAV INT
DEM CNT STA POL HEA PRE GOV"
Expires: -1
Pragma: no-cache