せーブログ

買物する際にお得かどうか調べちゃうくせに後で同じ事を調べ直してばっかり。なので記録を残す事に。似た状況の人の轍になれれば

ソーシャルエンジニアリングとパスワード

ほこ×たてで「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティープログラム」という対決があったので観たんですがひどい内容でびっくりしました。こんにちは、セコムしてますか?

観る前から攻撃側、防御側双方の定義というか前提条件が難しいけど大丈夫?とは思っていたんですがテレビ局側の意向でものすごい偏ったルールで行われていたみたい。こんな条件でよくオファー受けたな!って感じだけど当日知らされたぽい。そもそも重要な情報を守りたい企業が13年前のOSをアップデートせずに使ってるわけねー。詳しい内容は以下。

自分の仕事関連だからツッコミも解説もわかるけど他の対決もこんな感じなんだろね。テレビ的に面白いかどうかは確かに重要だけど風評被害にもなりかねないからオファー来ても断ってる企業ありそう。

番組の結論としてはOSのセキュリティアップデートをマメにしていて最低限の対策を打つだけでハッカー側はほぼ侵入出来ないって解釈で良いぐらい。というか機械のセキュリティ技術が発展する一方でその機械を使う人間側の心理が脆いままだとそっちにこそ気をつけないといくらセキュリティ対策にコストをかけたところでソーシャル・エンジニアリングを仕掛けられたら終わりっていう。

ソーシャルエンジニアリングって何?

に対する答えはWikipediaにもあるが欺術という本がわかりやすいし面白い。

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

セキュリティ技術が向上した今日では、セキュリティを正面から突破するより、人間をだましてパスワードを手に入れるほうがラクだからです。面白かったのは、ハッカーがたとえばZさんからパスワードを聞きだすときに、いきなりZさんに電話をするわけではない、ということ。

ハッカーはまず受付に電話し、いっけんどうでもいい情報をGetします。(名前をど忘れしちゃったんですが、そちらにジョーンズ氏さんは何人おられますか? 3人。名前を読み上げていただけますか? バリー、ジョセフ、ゴードン。 そうそう。ジョセフでしたよ。彼は何部? ビジネス開発部ですか。了解。彼につないでいただけますか?)

電話はジョーンズさんにつながります。ハッカーは「自分は給与係だが、給与支払いの手続きでミスがあった」と言い、ジョーンズさんの社員番号を聞きだします。(社内では秘密でもなんでもない情報なので、ジョーンズさんは気軽に教えます)

最後にハッカーは、システム管理者に、「私はジョーンズだが、出張中なので臨時のアカウントを作ってくれないか」と依頼します。

システム管理者は、電話の向こう側の人がフルネーム・社員番号などをすらすら答えるので、信じてしまいます。そこで彼はハッカーのために、新しくアカウントを発行してしまうのです。

つまりハッカーは「自分のグループ内の人間にはセキュリティが甘くなる」という性質を利用するため、まず「仲間内の情報や用語」を仕入れ、知識と用語を武装した上で、肝心な人を騙す・・・ということなのです。

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法のlionfanさんのレビュー

実際にはもっと情報収集が必要でここまで単純な話ではないはずだけど情報版わらしべ長者みたい。ちょっとオレオレ詐欺と似ているところも面白い。ワンクリック詐欺オレオレ詐欺の被害報道を見て「まだ引っかかるバカがいるのか」なんて思っている人は危うい。こういったテクニックは昔からそのままなわけなくて上記の例のように日々進化している。

パスワードも工夫が必要な時代

この表は左から文字数、全ての文字を使ったパスワードの場合、英数小文字だけのパスワードの場合という表。

セキュリティ対策にはまず敵を知れ、「パスワードはどうやってハッキングされるのか?」 : ライフハッカー[日本版]

例えば昔に主流だった6文字で見てみると英数小文字だけのパスワードはたった5分で破られてしまう。一方で6文字のままでも大文字や特殊文字も含めると8日以上かかるので現時点で含めていない人は今後含めるようにすべきだと思う。会社によっては毎月パスワードを変えさせる規則がある。そう聞くとセキュリティ対策が万全なイメージだけど実際は違う。大半は毎月変わるパスワードを覚えきれないので結局はパスワードの最後に年月を付けるみたいな安易な運用なので推測されやすくほとんど効果がない。

パスワード破りのプロのほとんどは、2分の1の確率でユーザのパスワードに一つ以上の母音が含まれていることを知っているとか。また、数字が含まれている場合、それはたいてい「1」か「2」で、パスワードの最後にくるのだそうです。大文字が含まれているとしたら最初で、これに母音が続きます。

パスワード破りのプロはこうやってアナタのパスワードを見破っている : ライフハッカー[日本版]

大文字を含めるにしても傾向があるのでその辺りにも注意するとさらにリスクは下がる。

秘密の質問が危ない

昔から何の意味があるんだと思っていた秘密の質問。パスワードを忘れてしまってもこれに答えれば大丈夫ですよ!ってやつ。質問を自分で設定出来るケースはまだ良い方で未だに「母親の旧姓は?」なんて選択肢がある企業はアタマがおかしいと思う。だって日常会話であっさり答えちゃうじゃない。

2008年には元アラスカ州知事のサラペイリンが秘密の質問を破られてメールが流出したけど「夫と出会った場所は?」に対して真面目に高校名を登録してたみたい。笑い話としては阪神タイガースのチケットサイトの秘密の質問に「応援しているチームは?」って選択肢があったとかなかったとか。登録者全員同じパスワード!

質問を自分で設定出来る場合でもリスクは残る。「今までに食ったパンの枚数は?」に対して「覚えているのか?」「おぼえてない」「たくさん」「いっぱい」なんて誰もが想像つくような答えを設定していたらあっさり破られちゃうよね。

で最後にここが最も重要な点なんだけどパスワードに関してマイルールを誰かに話す事自体がリスクって事。「パスワードに大文字含めるのは基本だよねー」すら危うい。パスワードには大文字を含めろってさっき書いてたのに?なんで?と思うかもしれないけど大文字を含んでいると確定していたらハッカー側は小文字のみの攻撃はしなくていい、という事になるから。こういう話を書いてる事自体ちょっとリスクだから今まで人に話したりしてないけど子どもに対して心構えみたいなものを説明する機会が来てるのでまとめておこうと思った。

ちなみに他人のパスワードを破った事は一度だけある。バイト先に同級生とその弟と自分の3人でいた時。兄が弟のPHSロックを解除したがっていた。兄が「数字4桁だから1万回か・・・」と総当り攻撃を考えていたところ弟が「まあわかんないだろねー何故その数字を?って感じだし」と答えてたので「おまえんちのマンション部屋番号って何?」と兄に対して自分が尋ねたところ弟が慌てて兄からPHSを取り返したっていう。これは弟が「何故その数字を?って感じの暗証番号である」と言ってしまった事で対象がグッと絞られた事がセキュリティホールになったわけで似たような事例は世の中にたくさんありそうだよね。

おまけ