「避難訓練」の事前と事後
最初に言い訳しておくと,私がセキュリティ管理者だったのはずいぶん昔の話だし今は職業エンジニアですらないので,セキュリティ関連の話題を深く追いかけることはしないようにしている。 そのせいかどうかは分からないが,日本政府が一般家庭に「サイバー攻撃」を仕掛けるというニュースを最初に聞いたのは先月末,しかも皮肉なことに海外ブログ経由だったりする。
- Japanese Government Will Hack Citizens’ IoT Devices - Schneier on Security
- Japanese government plans to hack into citizens’ IoT devices | ZDNet
元ネタは NHK ニュースらしいので多分「知ってる人は(とっくに)知ってる」状態なのだろう。 日本のいわゆる「セキュリティ・クラスタ」がどういう議論を行ってきたか(行わなかったか)は知らないし知る気もないが,海外からは
I am interested in the results of this survey. Japan isn't very different from other industrialized nations in this regard, so their findings will be general.
という感じで注目されているらしい。 そして
I am less optimistic about the country's ability to secure all of this stuff -- especially before the 2020 Summer Olympics.
と続く。
今回の日本政府による「サイバー攻撃」がどのようなものであれ,その結果を犯罪者側は知ろうとするだろうし確実に利用されるだろう1。 私も “less optimistic” という印象だ。
たとえば大企業などでは従業員に対して偽の Phishing メールを送ったりネットワークに接続する機器に「不正アクセス」を仕掛けたり,といったことが行われる。 これは一種の「避難訓練」で,接続機器の安全性を確かめたり従業員のセキュリティ意識を高めたりするのが目的である。
しかしこういった「避難訓練」は事前の教育と事後のフォローがあって初めて成り立つものである。 事前の教育は今更なのでしょうがないとして(日本ってホントに教育費をケチるよねぇ),日本政府は「リスト攻撃」で危険な機器のリストを作り上げて(おそらく膨大な数になるだろう),それからどうするつもりなのだろう。
サービスプロバイダや企業に対するものとは違い一般家庭への「あくてぃぶさいばーでぃふぇんす(笑)」はあまり現実的ではない気がするが… そいういった「事後」についてどうするのか,といったことがメディアからは聞こえてこない。 聞きそびれているのか(政府やメディアが)意図的に言わないのか,それとも何も考えてないのか(「何も考えてない」に100カノッサ)。
とりあえず,この機会にパスワード管理について改めて見直すのがいいだろう。 ルータやネットワーク家電といった所謂 IoT 機器に関しては
- 購入時の初期パスワードから変更しましょう(頻繁に変える必要はない)
- 機器ごとに異なるパスワードを設定しましょう
- パスワードの作成・管理で人間の脳みそはあてになりません。パスワード管理ツールを使いましょう。不安なら紙に書き出しておくのも可
といったところだろうか。 昔はルータの WAN 側で防衛できていればよかったが(引き続きそれは重要だが),今はスマホなどの携帯端末も含めていくらでも侵入経路があるからね2。
ちなみに IPA ではパスワードに使う文字種と文字数ごとにパスワードの解読コストを調べていて3,ちょっとデータが古いが
利用する文字種類数と内訳
パスワード長
種類数
数字
文字
シンボル
4文字
8文字
12文字
16文字
10種 0-9 なし なし 1円未満
($2^{13.3}$)1円未満
($2^{26.6}$)約35円
($2^{39.9}$)約35万円
($2^{53.2}$)36種 0-9 a-z なし 1円未満
($2^{20.7}$)約100円
($2^{41.4}$)約1.65億円
($2^{62.0}$)約276兆円
($2^{82.7}$)62種 0-9 a-z
A-Zなし 1円未満
($2^{23.8}$)約7,500円
($2^{47.6}$)約1,120億円
($2^{71.5}$)約165京円
($2^{95.3}$)94種 0-9 a-z
A-Z! " # $ %
& ' ( ) =
~ | - ^ `
¥ { @ [
+ * ] ; :
} < > ? _
, . /1円未満
($2^{26.2}$)約21万円
($2^{52.4}$)約16.5兆円
($2^{78.7}$)約129,000京円
($2^{104.9}$)情報漏えいを防ぐためのモバイルデバイス等設定マニュアル 解説編
2.4.2.2項より)
という感じ。
文字種を増やしても8文字程度じゃ話にならないのがわかると思う。 英数字を混ぜて12文字以上ならとりあえず安全かな。
ブックマーク
参考図書
- セキュリティはなぜやぶられたのか
- ブルース・シュナイアー (著), 井口 耕二 (翻訳)
- 日経BP 2007-02-15
- 単行本
- 4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
- 評価
原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。
-
なにせ犯罪者側が普段は他の通信トラフィックに紛れてチマチマやっていることを白昼堂々と大規模にやってくれるんだから,彼らは大歓迎だろう。「日本政府からのアクセス」という Phishing もできそうだ。防衛という点に関しては警察はあてにならないだろうし。 ↩︎
-
なので家庭内 LAN は用途ごとにセグメントを分けるのが吉。これからは家庭内にも検疫ネットワークが必要になるかも知れないねぇ。 ↩︎
-
資料によると「利用できる文字種類すべてを完全にランダムに選択して作ったパスワードを一つ一つ調べる全数探索により1日で解読しようとした際にかかるおおまかな想定攻撃コスト」とある。「全数探索(暗号鍵の総数256)でDES10を1日で解読するためのコストを約250万円と仮定します」とあるが2013年頃の資料なので,今はクラウドの利用コストも下がってるし,もっと安上がりにできるかも知れない。 ↩︎