Passproof デモキット使い方ガイド

QUICK START

デモの始め方

HTMLファイル1つで動作します。インストール・サーバー不要です。

1

ファイルをダウンロード
passproof_demo_all.html をダウンロードします。

2

ブラウザで開く
ファイルをダブルクリック、またはChrome・Edgeにドラッグ＆ドロップします。

3

シナリオカードを選ぶ
メニュー画面でAiTM・MITB・SIMスワップのいずれかをクリックします。

4

「デモを開始する」を押す
詳細パネルが展開されたら、ボタンでデモ画面へ遷移します。

5

「▶ 次へ」を押しながら解説
1ステップずつ進み、最後に「🛡 Passproofで防御」ボタンで防御シナリオを見せます。

ATTACK SCENARIOS

3つの攻撃シナリオ

各シナリオは「▶ 次へ」を押すだけでステップが進みます。下記の台詞を参考に解説してください。

🎣

AiTM 中間者フィッシング

幕1 ── Adversary-in-the-Middle

⚠ パスキーでも防げない

被害者が「本物そっくりのサイト」にログインすると、右画面に認証情報・セッションCookieが流れる。攻撃者がそのCookieで別画面からログイン成功します。

ステップ	見せるポイント・解説台詞
1	フィッシングURL 「URLが微妙に違います。でも被害者は気づきません」
2	認証情報入力「メール・パスワードが右画面にリアルタイムで流れます」
3	パスキー認証「パスキー認証しても、攻撃者は中継するだけです」
4	セッション窃取「セッションCookieが丸裸になっています」
5	リプレイ攻撃「別端末からログイン成功。パスキー≠万能の証明です」

🛡

Passproof 防御

「セッションをデバイスに紐付けているため、Cookieを奪っても別端末では使えません。デバイス指紋の不一致を即座に検出しブロックします」

🔧

MITB ブラウザ内DOM改ざん

幕2 ── Man-in-the-Browser

⚠ HTTPS/パスキーでも防げない

ブラウザ拡張マルウェアが振込先・金額をリアルタイムで書き換えます。被害者の画面には「正常完了」と表示されます。

ステップ	見せるポイント・解説台詞
1	マルウェア感染「URLも証明書も本物です。でもブラウザの中に既に敵がいます」
2	フォーム読み取り「入力した瞬間、全部筒抜けです」
3	送金先改ざん「画面は変わらない。でもデータは差し替わっています」
4	金額も改ざん「¥10万のつもりが¥245万になっています」
5	確認画面も偽装「確認しても無意味。確認画面まで書き換えられています」

🛡

Passproof 防御

「トランザクション署名でDOM値とサーバー受信値を比較します。改ざんを検出した瞬間、振込リクエストはサーバー側でブロックされます」

📱

SIM Swap SIM乗っ取り攻撃

幕3 ── SIM Swap / Port-out Scam

⚠ SMS MFAでは防げない

キャリアへのソーシャルエンジニアリングで電話番号を奪取。SMS認証コードが攻撃者のスマホに届き、MFAを完全突破します。

ステップ	見せるポイント・解説台詞
1	個人情報収集「名前と生年月日だけで始まります」
2	キャリアへなりすまし「電話一本で手続きができてしまいます」
3	SIM再発行承認「キャリア側は正規の手続きと判断します」
4	被害者SIM無効化「被害者のスマホが突然圏外になります。気づきません」
5	SMS OTP横取り「MFAコードが攻撃者の画面に届きます」

🛡

Passproof 防御

「Passproofは電話番号・SMSを一切使いません。SIMを奪われても認証には無関係です。デバイスに紐付いた暗号鍵だけで認証が完結します」

DEMO CHECKLIST

デモ一式の構成

画面	内容	状態
統合メニュー	攻撃選択・概要説明・防御アーキテクチャ図	✓ 完成
幕1 AiTM	セッションCookie横取りデモ（6ステップ）	✓ 完成
幕2 MITB	DOM改ざん・振込詐欺デモ（6ステップ）	✓ 完成
幕3 SIM Swap	SMS OTP横取りデモ（6ステップ）	✓ 完成

TIPS

商談での活用ポイント

🎯

相手に選ばせる

メニュー画面で「どの攻撃が気になりますか？」と相手に選ばせると当事者意識が高まります。

⏱

1シナリオ約3分

1つのデモは3〜5分で完結します。短い商談なら1幕、時間があれば全3幕を見せましょう。

🔄

必ず防御も見せる

攻撃デモのあとは必ず「🛡 Passproofで防御」ボタンを押して、防御できることをセットで体感させてください。

↺

リセットで繰り返し可

「↺ リセット」ボタンで初期状態に戻ります。同じ相手への再デモや、複数回のプレゼンにも対応できます。

ステップ	見せるポイント・解説台詞
1	フィッシングURL 「URLが微妙に違います。でも被害者は気づきません」
2	認証情報入力「メール・パスワードが右画面にリアルタイムで流れます」
3	パスキー認証「パスキー認証しても、攻撃者は中継するだけです」
4	セッション窃取「セッションCookieが丸裸になっています」
5	リプレイ攻撃「別端末からログイン成功。パスキー≠万能の証明です」

ステップ	見せるポイント・解説台詞
1	マルウェア感染「URLも証明書も本物です。でもブラウザの中に既に敵がいます」
2	フォーム読み取り「入力した瞬間、全部筒抜けです」
3	送金先改ざん「画面は変わらない。でもデータは差し替わっています」
4	金額も改ざん「¥10万のつもりが¥245万になっています」
5	確認画面も偽装「確認しても無意味。確認画面まで書き換えられています」

ステップ	見せるポイント・解説台詞
1	個人情報収集「名前と生年月日だけで始まります」
2	キャリアへなりすまし「電話一本で手続きができてしまいます」
3	SIM再発行承認「キャリア側は正規の手続きと判断します」
4	被害者SIM無効化「被害者のスマホが突然圏外になります。気づきません」
5	SMS OTP横取り「MFAコードが攻撃者の画面に届きます」