セキュリティってなんだろう?

企業のセキュリティシステム構築に参加していた元SEが、セキュリティについて考えてみた。

辞書に載ってる言葉はダメだよ攻撃。

「たくさんの種類の文字を使い」「できるだけ長く」「使う期間は短く」「変更するときは、前と似ても似つかないものに」……よいパスワードへの道のりはなかなか厳しいですね。

最初のうちは「仕事の気分が乗らないときに暇つぶしできていいかな」くらいに思っていても、しばらく続くとうんざりしてきます。

そこで大抵の人が思いついてしまうのです……。

新入社員B 「(あーあ、また憂欝な一週間の始まりだ。

仕事前にパスワード考えとかなきゃ。

でも、もういいかげんネタがないよ。

長くてうそみたいに種類のあるパスワードを誰か考えてくれないかな……って、おおおっ! いいものがっ!)」管理者R「おい、B」新入社員B「なんですかRさん! びっくりしましたよっ」管理者R 「見てしまったな、触れてしまったな、禁断の果実に」新入社員B「いや、ぼ、僕は何も……」管理者R「雰囲気で分かる。

匂いで分かる。

気配で分かる! しかしB、あれはやめておけ。

手を出してはダメだ」新入社員B「なぜ、なぜなんですRさん!このおばあちゃんにもらった黒革の英和辞典が僕に福音を……福音を……」常に大量の「変わった文字列」を思いつかなければならない状況に陥ると、かなりの人が「そうだ! 辞書に行こう」と思いつきます。

パスワードはその性質上、漢字変換が難しいので英和辞典がよく使われます。

載っている単語を適当に誕生日とでも組み合わせれば、一瞬で「いいパスワード」が作れてしまいます。

言葉なんて日々生み出されていますから、ストックも無尽蔵にあるわけです。

「なんでみんな使わないの!?」と快哉を叫びたくなります。

実際、英単語からパスワードを作っている人は多くいます。

意味のある単語と意味のない文字列、コンピュータにとって両方の情報は等価ですが、人間にとっては格段に意味のある単語の方が覚えやすいのです。

したがって、「パスワード作りに辞書は必携」な人が増えるわけです。

しかし、そんなことはクラッカは百も承知です。

そこで、総当たりをするにしても、「aaaaa 違うか」「aaaab これも違うな」(ルパン三世の原作にこんなシーンがありました)なんて無機質にやるのではなくて、「まず辞書に載ってる単語から試していこう」となるわけです。

本当に何かの単語をパスワードにしていた場合、「aaaaa」から順に試されるよりずっと速く解読されてしまいますよね。

これを「辞書攻撃」と呼びます。

最終的には総当たり法と同じことになるのですが、意味のある単語から始めていくことで「解読までの平均時間」を大きく短縮できるわけです。

また、ここでいう辞書は、コンサイスとかジーニアスとかだけではなくて、「クラッカお手製」も合みます。

どういうことかというと、「その人がなんなく記憶できて」かつ「他人はあまり知らないもの」は、パスワードと結びつきやすいのです。

そこで使われるのが、おなじみの生年月日や電話番号です。

ほんとうにこれらを「他人はあまり知らな」ければいいのですが、電話番号なんてちょっと調べれば分かる「準・公開情報」ですし、生年月日も同様です。

こうした個人情報を専門に闇取引する業者も存在して、クラッカはせっせと自分の辞書に「個人情報」を蓄積していきます。

あなたの誕生日は百科事典に載っていなくても、クラッカの辞書には載っている、というわけです。

「暗証番号に生年月日を使わないでください」と言われるのはこのためなのですね。

以前は電話番号がもれでもあまり広範囲には広まりませんでしたし(検索も大変でした)、せいぜいいたずら電話がかかってくるくらいでしたが、ネットワークの普及により情報の伝播速度は異様に速くなりました。

一度もれてしまった情報はネットのどこかに永遠に保存され続けると言っても過言ではありません。

暗証番号という「鍵」に電話番号を設定してしまった時点で、電話番号は単純な「電話の番号」ではなくなり、あなたの資産への扉、という属性を持ってしまうのです。

公開情報にそんな属性を持たせるのはおっかないですよね。

家の鍵を人前に放置する人がいないのと同じです。

安全に暮らすためのコツは、「1 つのモノには1つの意味しか持たせない」ことです。

ダブルミーニング好きの日本人としては寂しいですし、万葉歌人が聞いたら怒りそうですが、電話番号には「電話の住所」としてだけの意味を、生年月日は「僕の生まれた記念日」としてだけの意味を持たせましょう。

電話番号が「電話の住所」でもあり「お金を引き出す鍵」でもあると、電話番号を知られることのリスクが大きくなります。

セキュリティ分野では二重の意味づけにろくなことはありません。

余談ですが、自分のパスワードに好きな女の子の名前を使う新入社員がけっこういます。

「パスワードは誰にももらさない」わけですから別にいいんですが、2つの意味でやめた方がいいと思います。

1つはもちろん「パスワードは意味があってはならない」という原則に反するため、もう1つは、会社というのはなかなか原則通りに動かないもので……。

Oさん(電話口)「おーい、Bくん風邪だって?」新入社員B「はい、すみません。

ご迷惑かけまして」Oさん(電話口)「それはいいんだけど、パスワード教えてくれない?」新入社員B「え? パスワードは死神が自分の額に手を触れるまで教えちゃダメだって新人研修のときに言ったじゃないですか」Oさん(電話口) 「あれは理想論だよ。

現実はお客の形をして窓口に現れているんだ。

B くんのパスワードがないと、あのお客の対応ができないんだよ」新入社員B「……」Oさん(電話口)「えっ!? 聞こえにくいな。

どうしたの?」新入社員B 「*****です」Oさん(電話口)「……」その名前が共通の知人だったりするとこちらも気恥ずかしいわけです。