パスワードは定期的に変更してはいけない

webt170523-password-thumb-720xauto.jpg
「パスワードは定期的に変更してはいけない」
--米政府
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
ニューズウィーク日本版 5/23(火) 15:00配信
ようやくまっとうな勧告を目にした。
パスワードの定期的な変更は不要という勧告で、米国の認証機関が出したもの。

私は以前から、パスワードの定期的な変更については、本当に必要か疑問に思っていたので、こういう勧告が出ると、やっぱりそうだろうとガッテンした。

もちろんパスワードの変更が全く、露ほども意味がないと言うつもりはない。
この記事でも、しょっちゅう変更を求められると、いい加減なパスワードを使いがちになるという副作用に重点を置いているわけで、副作用がなければ、変更に問題はない。「変更すべきでない」は言い過ぎのようにも思う。

パスワードの変更の効果について、簡単な計算をしてみよう。
まず、パスワードになりえる文字列の総数がN 個だったとする。
クラッカーは自分で決めた順番で、この全文字列を一つ一つテストするものとする。
さて、クラッカーがm 個のテストを終了して、未だクラックに成功していないとする。
この時、パスワードの変更はどういう効果があるだろう。

パスワードを変更しない場合は、m 個まではパスワードでないことが解っていると言う条件でのクラックとなるから、残りのテストでパスワードにヒットする平均試行回数は、Nm)/2 である。
パスワードを変更する場合は、クラッカーのm個までのテストはリセットされることになるから、パスワードにヒットする平均試行回数も、元のN/2 にリセットされる。
つまり、平均試行回数はm/2 だけ長くなる。

そら、ちゃんと効果があるじゃないか。
だけど、実際に数値を入れて見る。
たとえば、英数字の36種類の10桁パスワードを使うものとすると、N は36^10=3,656,158,440,062,976≒3656兆個である。
今、クラッカーは1秒間に100万回のテストができるものとしよう。
平均試行回数N/2=1828兆回をこのスピードで実行したとすると、1,828,079,220=507,800時間=21,15858年である。
よくパスワードを90日で変更しろというが、平均試行回数はm/2 だけ長くなる、平均試行時間は90/2日、つまり、45日ほど延びるわけである。
58年=21158日に対する45日だから、0.2%ほど安全度が高くなるというわけだ。
5年ほどパスワードを変更していなかったら、クラックされる危険は10%ほど高くなるとも言える。

ただし、これはクラッカーがずっとこのユーザーIDのパスワードクラックをずっと続けている場合の話だから、余程執念深いクラッカーに狙われでもしない限り、ちょっと非現実的なようにも思う。

上では、テストスピードは100万回/秒としたけれど、これはさすがに凄すぎると思う。そんなに早いレスポンスのサービスはちょっと考えられない。せいぜい1000~10000回というところだろう。だとすると、平均試行時間は当然2~3桁(5800~58000年)長くなる。


2017-05-31_085041.jpg ただ、もし、自分が登録しているサイトのパスワードデータベースが漏洩してしまったとしたらどうだろう。
この場合は、ネットからパスワードのテストをするのとはわけが違い、テストスピードをはるかに高速化することができる。平均試行回数は同じでも、平均試行時間は1000分の1にできるかもしれない。上の数値例なら、21日でクラックされる。
管理者は、漏洩事件を起こしてしまったら、直ちに公表し、パスワードの変更を求める必要がある。

職場などで、隣に座っている職員が横目で見る、あるいは同僚のクセを知っているというような場合も注意すべきだろう。こういう場合は、ときどきパスワードを変えるのは、同僚を信じられないのならだけれど、効果があるかもしれない。

重要なのは、IDが共用されるような場合。複数人が同じID/パスワードで利用しているようなケースだと、人の異動があるなどすれば、当然変更(そして利用者全員に通知)しなければならない。とりわけ、初歩的だが後を絶たないといわれている、委託先などのシステム開発者、rootとかAdministratorのパスワード。権限が強いのに、本当に誰がこのIDを管理しているのかが実は曖昧という場合がある(開発終了後に放置されていることも起こる)。致命的な欠陥である。

なお、件の勧告は、パスワード変更よりも、パスワードをパスフレーズにすることを推奨している。
これはユーザーだけでなく、サービス提供者側に発せられているものと思う。
今までせいぜい10数桁までのパスワードを使っていたシステムに、十分な長さのパスフレーズが受け入れられるように改善しなさいということである。

パスワード管理ソフトを使っているので、私自身はあまりやらないけれど、パスワードの作り方として、パスフレーズの頭文字などを使うというやりかたがある。
たとえば、

Aoniyoshi Nara no Miyako no 8ezakura Kyou 9e ni Nioinurukana ⇒ANnMn8K9nN

などである。
パスフレーズ対応がなされるまで、こういうやりかたも良いかもしれない。
パスフレーズで良く使われるセンテンス集、なんてのも出るだろうけど。

スポンサーサイト

iPhoneのロック解除

米国でAppleとFBIが争っている。
FBIが捜査のためにiPhoneのロック解除を要請したが、Appleが応じないということである。

Passlock-iPhone.jpg 同様のロック解除が争われた別の事件では、ニューヨーク連邦地裁はAppleを支持して、政府要請を却下したと伝えられている。

もちろん、公益優先かプライバシー優先かという話なのだけれど、こういう問題の立て方では一般解は存在しない。ケース・バイ・ケースという答えしかない。
さらに哀しいことに、インカメラ方式すら使えない状況だから、始末が悪い。

この問題に関して、大統領候補のトランプ氏がtwitterで、Appleの不買を呼びかけたけれど、投稿にiPhoneを使っていたというオチもあるようだ。


それはそうと、FBIが求めているのは正確にはロック解除ではなく、パスワードミス10回で端末初期化というのをやめてくれということ。で、Appleはそんなことをするのはユーザーを裏切ることになると。
え、できるんや、と思ってしまう(これはクラッカーにやる気を出させると思う)。

これから出す製品に組み込むことは勿論可能だけれど、現にロックされているiPhoneに対してできるというのなら、その時点でセキュリティに欠陥があるということになるのではないだろうか。普通、ICカードなどは、メモリーの直接読み書きは不可能で、かならずカード内部のプログラムを使わなければならないはず。つまりこのプログラムを使う方法があるということになる。

以前Windowsが、"BitLocker"というドライブやUSBメモリなどを暗号化して保護する機能を装備したとき、パスワードを忘れてMicrosoftに泣きついたが、バックドアはないとすげない返事をされたという話を聞いた覚えがある。


それと、もしiPhoneが初期化されたら、完全にデータが消えるんだろうか。いわゆるサルベージというのは全くできないのだろうか。FBIならいろんなツールを持っていると思うけれど。

また、もしロック解除裏技ができたとしたら、犯罪者などは、端末ロックに頼らない保護(たとえば暗号化)をするようになるのではないだろうか。以前、オウム真理教事件のとき、教団が使っていたPCのデータは暗号化されていたそうだ。たまたまパスワードリストが手に入ったから読みだせたという話を聞いたことがある。

今回は端末上のデータだけれど、犯人がiCloudにデータを置いていたら、Appleは読みだせるという話もあるようだ。
そうなんや、やっぱりクラウドを使う時は暗号化しなくちゃ。

そうそう、私はiPhoneユーザーじゃなくて、Androidユーザーだった。
Androidではどうなってるんだろう。

意図しない成りすまし

昨日に続いてマイナンバーカードをとりあげる。
某市役所の人から聞いた話。

mynumbercard_facet.jpg 住民から「マイナンバーカードの交付申請をネットでしたのだけれど、添付する写真を間違えて親のものにしてしまったのだけれどどうしたら良いですか」という問い合わせがあったそうだ。

どうなるんでしょうね?
カード作成を受託している地方公共団体情報システム機構は、違う写真でカードを作ってしまうかもしれない。
問い合わせを受けた市役所としては、その人のマイナンバーを確認して、そのカードの作成を止めるぐらいのことしかできそうにない(結構面倒かも)。

そして、間違ったカードが市役所に届いたら、窓口では?
写真の人がカードを受け取りに行ったら、券面の写真と同じ顔だから、顔認証システムはパスするに違いない。
年齢や性別がおかしいことに職員は気づくだろうか。
顔の一致にばかり気をとられていたら、そのまま渡すかもしれない。

顔認証システムとか見当はずれのセキュリティ対策をしたために、本当にチェックすべきところがおざなりになってしまうのではないか。

意図せざる成りすましの完成です! ☆☆☆

もちろん、この例のように単純な間違いで、他人の顔写真が掲載されたマイナンバーカードが交付されるようなことはないと思うし、間違いのままでは本人も困ってしまうから、本人が間違いですと申し立てるだろう。
また、普通は顔写真入りの身分証明になるものを提示するだろうから、そこでも気づくだろう。

しかし制度としては、顔写真入りの身分証明を持たない人のために、顔写真のないもの(保険証、預金通帳など)の提示で本人確認とすることもある。悪意をもって成りすましをする人はこれが狙い目で、もっともらしい書類をそろえてくるだろう。それが住基カードの不正取得で繰り返されたわけだ。

成りすましを防ぐには、持参書類のチェックはもちろんだけれど、住所と誕生日をスラスラと言えるかどうかや、挙動に不審な点がないかなど、書類外でのチェックが有効だろう。

2016-02-29_085548.jpg 顔認証システムは、顔の一致を判断するのではなく、性別・年齢から、この顔はアリエナイんじゃないかという判断をするのに使ったら良いのでは。既にそういう技術は実用化されているから、情報システム機構も使っていて、冒頭のような単純な間違いは検出しているかもしれないが。

写真から性別・年齢を判定するサービス(How old do I look?やBLINQなど)も既にネットにある。多部未華子は女性・17歳と判定された(日本人は若く判定されるらしい)。

住基カードの不正取得(なりすまし取得)の事例は良く知られていると思うので、防止に役立つ手順もあるだろう。窓口での徹底を期待したい。

ところで、この例のように、悪意のない過失で、まちがったカードを作ってしまったら、正しいカードを作るのは再発行になるのだろうか。
そして、自己責任ということで、再発行手数料を徴収することになるのだろうか。

再発行手数料は、市町村条例で定める。カードの再発行が800円、電子証明書の再発行が200円というところが多いようだ。


マイナンバーカードをゲット

先日、個人番号カード(マイナンバーカード)の交付案内が来たことを書いたように、それに従って、マイナンバーカードを受け取ってきた。

前の記事で、予約制であること、本人確認書類のことなどを書いたけれど、これは私の居住市に限ることではなくて、だいたい全国共通のようだ。案内状も予約システムも、おそらく共通なのだろう。

私の居住市では、30分を1コマに、最大3人に交付するようだ。
別の用件を済ませてからと思って9:30に予約を入れていたのだけれど、そちらが早く終わったので、9:00前に担当課に聞いたら、先に受け付けてくれて、9:05には交付終了。

カードのパスワード、電子証明書のパスワードは予め考えて用意していたのだけれど、電子証明書パスワードは英小文字は使えない。注意書きがあったらしいが見落としていた。

あの無意味と思える顔認証システムは、居住市では採用していなかった。
mynumbercard_facem.jpg
写真は私のマイナンバーカード。

大事なところを全部モザイクしてあるから、ここに載せてもしょうがないけど。

マイナンバーは表には記載されず、裏に記載されている。表の記入領域は、転居などの場合に役所が記入するもので、持ち主が書いてはいけない。
今まで、いろんなところにマイナンバーを届けてきているが、通知カードまたは個人番号カードのコピーの添付が必要な場合がある。このとき、個人番号カードは、表・裏をコピーしなければならない。マイナンバーをみだりに他人に教えるなというポリシーがこんなところでも余計な手間と出費を強いることになる。
mynumbercard_tailm3.jpg

掲載したカードの写真は、市役所で配られるカードのカバーをかけた状態である。
このカバーは目隠しの役割も果たしていて、表では、なぜか性別の部分と、臓器提供意思のところが隠されており、裏はマイナンバーの部分が隠されている。
こういう姑息な対応をするぐらいなら、はじめからマイナンバーを表に表示して、カバーでその部分を目隠しすれば、コピーをとるときに1回ですみ、かつ、マイナンバーなしの身分証として使う場合はカバーをかけたまま提示するようにできて良かったのでは。

また、カードの表・裏というが、別のカードの裏ではないことを示すのは、名前と生年月日の一致。同じカードの表裏であることを確実にする、たとえばカード固有番号とかを表裏に印刷しておくべきではないだろうか。


ところで、なぜマイナンバーカードを発行してもらったのか。
e-Taxで使おうかとも思うけれど、一番の動機は、前にも書いた覚えがあるが、他人に勝手に発行されないようにすること。自分が知らないうちに他人がマイナンバーカードを交付申請して、成りすましされることがないようにである。(住基カードでは、成りすまし取得が結構あったらしい。)

個人情報の漏洩は大変だと、国をあげて言ってるけれど、なぜ個人情報の漏洩が大変かということをあらためて考えると、大きく分けて、
  1. 漏れた個人情報によってその人が攻撃される
  2. 成りすまし。本人の意図と異なることを勝手に行われる
がある。
1は、たとえば漏れた情報でその人の特性が解るような場合、営業(詐欺)のターゲットにされるような状況。
2は、ID/パスワードの漏洩が典型的で、他人が本人の権能を行使する状況。
もちろん、1から2(パスワードの推定など)に発展することもある。

他人に知られたくないというようなレベルではなく、犯罪に巻き込まれる状況になるのが恐ろしいわけである。

前述のように、住基カードの成りすまし取得というのは、興味本位でやるわけではなく、他人に成りすますことによって、たとえば本人が知らないうちに、本人の財産を処分されてしまうとか、知らないうちに多額の借金を背負わされているというようなことが起こる。

これも何度も書いてきたことだが、米国のSSNの失敗は「SSNを知っている⇒本人である」としたため、成りすましが多発したものである。
この失敗に学ぶなら、マイナンバーを知られると成りすましのリスクが発生すると考えるのではなく、「マイナンバーは誰でも知り得る状態にある。マイナンバーは名寄のためのキーでしかなく、本人を確認するものではない」というポリシーで制度設計をすることであったろう。
「SSNを知っている⇒本人である」の否定命題は、「SSNを知っていて、かつ、本人でない」である。
SSNを知っている人を減らせば対策になるというのは浅知恵と言って良いだろう。


成りすまし取得を防ぐため、通知カードを持っていること、交付通知をもっていること、本人確認書類(写真つきなら1点、写真なしなら保険証など2点)を提示することになっている。
これはそれなりに厳重なように見えるけれど、これをかいくぐる知恵者もいるかもしれない。

住基カードや国民健康保険証の成りすまし取得が起こる現実。そして、それを起点として、運転免許証や印鑑登録証までが成りすまし取得に至る。テレビで紹介されていた手口は、転出届の利用である(これ以上は書かない)。
今は改善されたらしいが、以前は、婚姻届の受付で本人確認などはしていなかったため、ある女性は、自分が知らないうちに結婚させられていたという事件があった。その女性が婚姻届を出そうとしたら、重婚は認められませんと言われたそうな。


なお、高市総務大臣が「セキュリティに万全を期している」と自負した顔認証システムは、カード券面写真と取りに来た人の顔の照合なので、成りすまし取得の防止効果は疑わしい
(成りすまし取得とは、カードとは違う人が取りに来て成りすますのではない。成りすましてカードを発行させたのを、我が物顔で取りに来るのである。)
成りすまし防止効果を期待するとしたら、カードに載せた顔写真をきちんと保存管理することだ。犯人が顔写真を残していくわけだから、そのまま指名手配に使えるだろう。また、成りすましが行われたとき、被害者の救済(私がしたことではないという主張)の役にもたつだろう。
このあたりはどうなっているのだろう。


【追記】

「居住市では顔認証は採用していなかった」と書いたけれど、ひょっとしたら私の場合、顔認証するまでもないと担当者が判断しただけで、顔認証システムそのものは導入されているかもしれない。
職場のあるY市では、システムは導入しているが、一見して疑いの余地がないなら顔認証システムは使わないそうだ。複数人が見て写真の人物と判断できない場合に顔認証の出番となるそうだが、そうだとすると出番はないんじゃないだろうか。
逆はありそうである。カードを取りに来たとき、たまたま顔に怪我をして包帯を巻いていたとか、機械が判断できない場合に人間が判断するというような場合だ。
(やっぱり要らない顔認証システム。要らないものを売って儲けるのではメーカーも心苦しいだろうから、他で値引きしたら良いだろうと思う。)


メールの無害化をやりますか

前にメールの無害化をやろうという話に触れた。
添付ファイルを外して、それが無害かどうか判定したうえで、OKにならないと添付を戻さないというような仕掛けである。
上等のものは結構丁寧にやるらしいが、安物はいい加減らしいとも。
(もちろん暗号化メールはチェックできないから、暗号化メールは発着信禁止になるに違いない。軍や外務省はどうするんだろう。)

そもそも随分以前から、添付ファイルを認めないという運用をしている組織もあったし、exeやxlsmなどのマクロを含んでいる拡張子を持つファイルは添付できないようにしている組織もあった。

こういうことをすると、拡張子を変更して添付し、メール本文中で「拡張子を変更してください」というコメントを入れることが横行する。

昔の小咄で「今日は仕事が立てこんでいるから早く帰って家で作業する」というのがあった。会社では添付ファイルが厳しく制限されているので取引先とのメール交換もままならない、家のネット環境だったらずっと仕事がはかどるという話である。
こんなことになったら本当は元も子もない。

で、メール無害化が実施されて、添付ファイルのチェックがされるんだったら、大昔のやりかたが復活するかもしれない。

昔、パソコン通信が7bitアスキーコードぐらいしかまともに通してくれない時代のこと、バイナリーファイルを伝送するために、バイナリー/テキストの相互変換をするツールがあった。有名なのは石塚さんという日本人が作った"ish"というソフトウェアである。
昔使われていたish.exeは、MS-DOS 32bit環境でしか動かなかったが、ちゃんと64bit環境に対応したものもある

以下は、試しにそのソフトウェアを使ってish変換したもの。
<<< テキスト.txt for MS-DOS ( use jis7 ish ) [ 10 lines ] >>>
!!CG!!gR!2"DRo&=I7=vh{s'ur<0!)"HDuKL:BCE}a!"!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!'\Ih
!!CG!!gR!2"DRo&=I7=vh{s'ur<0!)"HDuKL:BCE}a!"!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!'\Ih
!!CG!!gR!2"DRo&=I7=vh{s'ur<0!)"HDuKL:BCE}a!"!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!'\Ih
"*;O/b-O"{2QD@ZWxVQ6+3pl)Fdg:*&rGY:gCF-N1$A+eQmr'jQ1+3\D}$&Nt3C
$*;T:yE!"3W)7=%FBPu'/b-O$_6A[t]F?'h&/bDw$=o~2W
%&[9CFth2+2;FJ(LxQTt)Ddh aOZ-=^*|m45M"A>J$(%XfJl5ZcXiq[,y$9mH4:}Zo"R$+>XI8Lykm6ilU[x>OLguXCF13ag?{*kMD,
c_9bcI_4j?zzNa!lAka9%+2F4B3vc^v!|G]Xv~2Pv)tfl\/cCZ6qZVPfh0+KqiN**n{*&U})0i!m=^
--- テキスト.txt (10/10) ---

ishのパラメータの確認もかねて、変換時の画面も揚げておく。
DOS_ish_sample.jpg 懐かしいなあ。

USBポートの制限

sakaishi_USB.png 大量の住民情報の漏洩事件があったS市で、住民情報を扱う部署のPCのUSBポートを塞いだということが話題になっている。
 堺市の全有権者情報がネット上に流出した問題で、市は8日、職員が勝手に情報を取り出せなくするため、住民情報を扱う部署のパソコン約1千台のUSB接続口をふさいだことを明らかにした。専用の鍵がないと外せないという。市の対応を検証する専門家委員会の会合で報告した。
 市によると、個人情報を流出させた元職員(59)は、市のパソコンにUSBケーブルで外付けハードディスクを接続し、自宅に情報を持ち出した。市はさらに別の約600台については、専用のソフトでUSBを使えない設定にしたという。

朝日新聞 H28.2.9


冗談で、USBポートに接着剤を流し込んだら使えなくなるなぁと話していたが、本当にやっちゃうんだと思った。
usbsecurity_sanwa.jpg もっとも、これはそんな乱暴なことではなくて、このためのセキュリティ製品があるようだ。
「USBコネクタ取付けセキュリティ」という製品で、1個4,000円ぐらいである。

私の職場のPCはUSBポートの利用を制限している。
これは良く使われている"Portshutter"というソフトウェアを導入している。台数が多いとこちらの方が単価は安くなる。上の記事の後半にある「専用のソフト」というのもこの種のソフトだと思う。また、ソフトの場合、PCと挿し込むUSB機器の組合せも制御できるはずである(特定のデジカメだけは接続できるなど)。

少し前にUSBの規格そのものの脆弱性も話題になった。これは現在も解消されていない(原理的に解消できない)。USB機器自体にバッドコードを埋め込むと、USB端子に挿したらただちにそれが実行されるというもの。


S市の事件では、権限のある人(それに近い人?)が持ち出しているわけだから、厳重な漏洩対策をしても無力だと思う。
また、こういう対策をしてPCの使い勝手が悪くなると、USBメモリーにデータをコピーして(必要な場所へ)持っていきたいというとき、USBポート制限がかかっていない機器を使えば良いと考えるケシカラン輩も出てくるかもしれない。
こういう発想は、まさに本末転倒だけれど、技術対策とは所詮そういうものでしかない。
制限にひっかかったときに、なぜそれが制限されているのか、それを理解する契機になれば良いのだが、制限されてなければやっても良いと考えてしまう浅慮な人もいる。

セキュリティ対策に限らず、業務遂行が情報システムに過度に頼るようになると、システムがすべてチェックすると思い込んでいるのか、システムが許容することならやってもよいと考えるようになる職員が出てくる。
ボタン1つ、クリック1つで、コンピュータが全部やってくれるのを理想と思っている人がたまにいるけれど、そういう人が管理者で要る限り、セキュリティは保てないし、もし、そういうシステムがあるなら職員は要らない。


最大のセキュリティーホールは、やっぱり人間である。

本当のねらいはどこにあるのだろう

マイナンバー制度については、本ブログで、システムや制度が異様に高コストではないかと批判してきて、そもそもマイナンバーは名前と同様に扱えばいいじゃないかと言ってきた。
とくに、マイナンバーを隔離(ネットワークを分離)するような話は、一体どこまでコストをかけるつもりかと訝しく思っていた。

しかし、どうもこれは見当違いだったかもしれない。
ことはマイナンバーの問題ではないのかもしれない。
総務省が自治体のセキュリティ対策の強化ということで、インターネットとLGWAN(総合行政ネットワーク)の分離などをすすめているらしい。
しかも、市町村は信用できないのか、都道府県に「安全な」インターネット接続をする事業を行わせるという。「安全な」というのは、標的型攻撃を想定して、メールの「無害化」を行うという(無害化とは要するに添付ファイルの削除とか検疫をすることらしい。暗号化メールは原理的に対応不可能だけど)。

haradasan_security.jpg

図は「日経コンピュータ」(2016年2月4日号)から


最近のセキュリティ対策は、インターネットとの接続やメールの開封を安全な場所(サンドボックス)で行って、もし、そこからマルウェアが侵入したとしても、そのマルウェアが行うであろう怪しい通信を検知して、ユーザーにはそれを届けないというもの。

こういうことをすると、インターネット接続コストは軽く1桁高くなる。だから経費削減圧力が強い自治体にはとてもそんなことをする余裕はない。そんなことは承知の上で、総務省が対策を求めるときに強調するのが、マイナンバーが漏れたら大変なことになる、である。
つまり、セキュリティ対策を強化することが本当のねらいで、マイナンバーはそのダシに使われただけなのかもしれないという気がしてきた。そう考えないと、マイナンバーを高コスト・高負担の制度・システムにする合理性が見当たらない。

だからといって、今のやりかたが正当化されるわけではない。マイナンバーの運用ポリシーと、標的型攻撃などのセキュリティ・リスクへの対策とは本来別の次元のものである(目的と手段の関係)。これを弁別せずに対処しようというのは、前にも書いたが、闇夜に鉄砲だと思う。それにネットを分離したからといって安心できるわけでは、決してない。


そもそも、どんな組織の情報システムでも、今まで個人情報を扱ってきたはずだけれど、情報漏洩対策がきちんと行われてきたかは結構アヤシイ。いくら対策をしろといっても、企業としては追加コストが発生するのでは、なかなか取り組めない。しかし、マイナンバーを扱う必要がでて、これを漏洩したらトンデモナイと宣伝することにより、マイナンバーの漏洩対策、ひいては一般の個人情報保護対策が進むのではないか、そう考えたのではないだろうか。

信頼のコストはとてつもなく高いことを実感する今日この頃である。

顔認証

kaoninshoumynumber.jpg 市役所で、マイナンバーカードを手交する際には、もちろん渡す相手がカード記載人であることを確認しなければならない。これは身分証明書でもあるからだ。

この本人確認は、市役所の職員がカード券面の顔写真と見比べることで行うのだろうが、聞くところによると総務省は、顔認識システムの併用を求めているそうだ。
このため、各市役所の交付窓口あたりには、顔認証システム用のカメラが置かれ、カードを取りに来た人をカメラでとらえ、システムによる本人確認をするようになる。

実際の運用がどうなるかは市によって違うとも言われる。全員に対して顔認証システムを通すのか、怪しい人にだけそうするのか。

他人にマイナンバーカードを渡さない、つまりフォールス・ポジティブを極力減らすという趣旨なら、当然、職員による認識と顔認証システムの認識が一致したときに限って本人と見做すのが正しいはずである。

逆にフォールス・ネガティブを減らしたいなら、職員と機械のどちらかが本人だと判定すれば良い。


しかし、そもそも何か変だ。
普通、顔認証システムって、予め登録されている顔と一致する人物かどうかを判定するためのものだろう。そこでは、警備員が相手の顔を知らないとか、無人ゲートであるとかが想定されている。けど、マイナンバーカードの手交では、カード券面の顔写真とカードを取りに来ている人が同一人かどうか判断するわけで、こんなところに顔認証を使う意義があるのだろうか。

同じ写真を、同じ人物を、職員と機械が見て、本人かどうか判定するわけで、どちらも同じ情報を使っている。
普通、人間と機械の判定が違う場合、他の情報を使って確認するのがスジではないだろうか。

多くのサービスでは、たとえば、生年月日がすらすら言えるとか、同居人を正しく言えるかとか、あるいは他に持っている証明書等の提示を求めるとかの対策をしている。

そして、マイナンバーカードの交付にあたっては、カード券面の写真による顔のチェックだけでなく、マイナンバーカードの交付通知書、通知カード、さらに運転免許証等の身分証明になるものの提示が必要とされるらしい。これを全部そろえられて、しかも顔がどうやら本人ぽいとなれば、誤交付っていったいどのぐらい起こるんだろう?

それに顔認証だけだと、顔が似ているということでだまされることは排除できないだろう。
前にも書いたけれど、パスポートの偽造はあまりなく、顔が似ている他人のパスポートを使うというケースが多いという。
ところで顔写真付き身分証明といえば住基カードでもOKなのだけれど、住基カードは役所に返却となるそうだ。500円払ったのに取り上げですか?


「顔認証システムの併用により厳格な本人確認を行う」というのは、顔認証システムの能力や使い方を知らない人の科白というか、穿った見方をすれば、それは承知の上で「高いセキュリティ」とやらを印象づけるための宣伝なのだろう。(あぁこの宣伝費も税金だ)

ところで私はスマホの顔認証機能も使っている。暗いところや、顔の角度によっては認識しないこともたびたびである。顔が認識されなければ、手でパスを入れる。
こちらはフォールス・ネガティブ対策である。

番号をつかわなくても

2015-12-16_094620m.jpg 昨日は「番号のつかいかた」という題名の記事だったけど、今日は「番号をつかわなくても」。

ときどき、右のようなメールが届く。
私はこの宅配業者に会員登録しているのだけれど、先日、予期しない人からお歳暮が送られてきたことを知らせるメールである。
もちろん送り主は、私の会員番号はもとより、会員登録していることすら知るはずがない。どうやら送り先の名前、住所、電話番号などから、会員データを検索して、私あての配送連絡メールを出しているらしい。

そういえば、ネット通販でも、この業者が配達する場合は、配達業者から配送連絡メールが来ていた。通販業者からメールアドレスが出ているのだろうぐらいに思って気にしていなかったのだが、どうやらそうではなく、宅配業者が自社データと照合しているようだ。
もちろん持ち帰り荷物を減らすことが目的だろう。
また、今回は配達予告だったが、予告なく、不在持ち帰り連絡メールがいきなりくることもある。タイミングの問題なんだろうか。


201512172059OfficeLens.jpg このサービスは別に番号を使っているわけではない。配達先を特定できる情報さえあればOKなのである。(ウソの出前とかされたら大変だけど)

ということは、そうした外形的情報を知っている他人が、なりすまして登録してたら、誰からどんな荷物が届くかを監視できるということにもなる。
(カードの写真は私のものだが、番号も何も識別する情報がカード面に表示されていない)。

以前、住基カードを作った人が、使う気はないけれど、作っておかないと他人がなりすまして作るおそれがあると言っていた。知らないうちにネット上の「私」が作られないようにするのも重要なセキュリティである。宅配業者は、同一人の複数登録のチェックなどはしているのだろうか。


なにはともあれ、この荷物は、冷凍食品のようだから、在宅時に配達してもらうよう日時指定をさせてもらったことは言うまでもない。

二次災害

2015-10-16_103544.jpg 先だっての年金番号流出事件で漏洩した年金番号の変更をする際にミスがあり、支給額を誤っていたというニュース。

番号を振り直したりするからこんなことが起こる。
かといって、番号とともに、名前、住所、生年月日、その他、個人情報がセットで漏洩していたら、本人確認は困難なことになる。
番号変更が必要かどうかは漏れた内容次第だと思う。

クレジットや会員制サービスなどで、電話で契約変更や解約をする場合、会員番号とともに、名前や生年月日、電話番号など、本人に関する情報を伝えて本人であることを推定するものが多い。これに対し、ネットで手続きを行う場合は、IDとパスワードによって本人であることを推定する。それだけでは安心できないような場合は、登録してあるアドレスに手続き完了等のメールを送って、他人が詐称していたら気付けるようにする。


知り合いで、クレジットカードは紛失していないのに、ネットで他人に使われたという人が居た。もちろん被害は保険で賠償されるのだけれど、番号変更となったため、いろんな決済に利用していたので大変な手間がかかったという。

根本的には本人確認をどうやるのかが問題の本質だと思う。
米国のSSNのように、番号を知ってたら本人と推定するような運用をしたら大変なことになる。
以前にも書いたけれど、本人確認と、権限認証は、全く別の概念である。 案外、こういう問題の切り分けも十分意識されていないように思う。

そもそも情報管理者が信頼できないなら、情報漏洩以前に、管理者側での改竄等も疑わなければならないわけで、本当に高いセキュリティを保持したいなら、公証システムを別に用意するとか、事後に変更通知を確実に本人に郵送するなどの工夫も必要になるだろう。

さすがに、本人のデータが更新されるときにいちいち本人同意手続きが必要とするのは無理だろう。


ところで、説明では「働きながら年金を受け取る人」の計算が違っていたという。
細かいことは良くわからないが、所得のある人は年金受給額が減額される制度になっているから、純粋に年金の計算をする部分と、所得で減額する部分で、基礎年金番号の変更に不突合があったということなのだろうか。
「消えた年金」問題では、そもそも掛け金の納入者のデータエントリミスがたくさんあったということだけど、今回もそのぐらい初歩的なミスだったのか。

私も働きながら年金も受給している(減額されてる)身である。年金番号漏洩の対象者ではなかったけれど、今回の支給額間違いの対象となった人と似た状態なのだが、私の年金の計算は信用していいんだろうな?

新しいパスポートができた

IMG_20150816_091946.jpg 日曜日、新しいパスポートを受け取りにK都まで。

日曜日は受け取りだけで、申請はできない。営業時間は9:00~16:30。
9:15頃に行ったのだが、他に客はいない様子。直ぐ後から何人か来場したから、写真には客が写っている。
申請のときの混雑が嘘のようである。

今回からはICチップが埋め込まれたページが追加されているので、ICチップの内容確認が手順に入っている。画面左端のディスプレイがそれで、記載事項と顔写真が表示される。

前回、写真がハネられたので、二度手間をさせられた、写真についても不満というようなことを書いた。

事情通の人に聞くと、パスポートの偽造はあまりなく、顔が似ている他人のパスポートを使うというケースが多いのだという。どこの国の話とは言わないが、海外旅行に行くつもりのない人のパスポートをたくさん集めておいて、パスポートが欲しい人に、これが使えそうだといって渡す裏稼業もあるという。

実際、似ている顔の人を区別するのは難しく、コンピュータの顔認識もあてにならないと言う。使うとしても、怪しい人を何人か候補で出すぐらいのことはできるかもしれないという。
だから、現在のところ、顔写真よりも指紋などのバイオ認証の方が確実である。
実際、今は、指紋も登録しておけば、自動で入出国審査ができるようになっているから、これの利用者が増えると審査がスピードアップされるという。

passportnewvoid.jpg   IMG_0002-crop.jpg


左が新しいパスポート。ICチップ入りを示すとおもわれるマークが入っている。その右は古いパスポート(VOIDの穴が開けられている)。

それにしても、パスポートというのは不思議なものだ。これって、日本国民であること以外、何にも証明しているわけではない。
日本国民である本旅券の所持人を通路故障なく旅行させ、かつ、同人に必要な保護扶助を与えられるよう、関係の諸官に要請する。

The Minister for Foreign Affairs of Japan requests all those whom it may concern to allow the bearer, a Japanese national, to pass freely and without hindrance and, in case of need, to afford him or her every possible aid and protection.
そう、これだけなんだ。証明事項といえば、あとは生年月日と本籍地ぐらいで、この人が信用できるかどうかなんて、どこにも書いてない。つまり、日本人だから信用して旅行させてください(何か問題があったら日本国が口を出すよ)ということでしかないわけだ。

FIDO

指紋認証システムについて、取り扱っている業者の簡単な販促用資料というのを見せてもらった。
それ自体は特にどうということもないのだけれど、どういう業者かネットで調べると、FIDO(Fast IDentity Online Alliance)という標準化推進団体にも参加しているという。FIDOについては全く知らなかったので、どういうコンセプト、技術なのか調べてみた。

FIDOpresentation.jpg FIDO allianceのページはしっかり作られているようだが、英語の文献を読むのは面倒、探すとITproに解説記事のようなものがあった。
FIDOのアイデアは、本人認証とデバイス認証を分離したと説明されている。
間違っているかもしれないが、バイオ認証による本人認証部分、そして本人を認証したあとそのデバイスがサイト等の認証情報を創出する部分になっているらしい。
前に、本人認証と権限認証の違いについて書いたけれど、同様の構造になっているわけだ。

ということは、本人認証は別にバイオ認証である必要はない。たとえばICカードのようなものを使っても構造は同じ。
重要なことは、アプリケーションが認証するときには公開鍵システムによる本人確認を使うということらしい。つまり認証デバイスは、本人を認証できたら、あらかじめ登録してあるキーでアプリケーションのユーザー認証を受けるようだ。

これがなかなか良いアイデアではないかと思うのは、1つは認証の基礎となるバイオデータが外部には出ないということ。指紋認証そのものが標準化されたとして、もし標準化された指紋のデータが流出してしまったら、もうその指を使って認証を受けられなくなってしまうことになる(普通2本は登録するから、5回流出したらもう使えない)。しかしFIDOならそういう心配は随分小さくなる。また、より優れた認証技術の導入にも障害とならない。

もう1つは、アプリケーション側のユーザー認証が標準化されるだろうということ。そして多くのサイトが行っているだろうパスワード管理の負担が軽減されるだろうということ。そして、仮に登録されている公開鍵が流出したとしても、なにせもともと公開鍵であるからして、何の問題も起きないわけだ。

既にいくつかのサイトがFIDO対応をしているらしいし、タブレットなどのデバイス側の対応製品もあるようだ。Windows10も対応するという。

ふと思ったのだが、例のマイナンバー・カードには「空の」電子証明書が入っていて、マイナ・ポータルの利用時の本人認証に使うことが予定されているわけだが、「公的個人認証の民間利用」で、面白いけれど、使えるかなぁ、と書いた覚えがあるけれど、FIDOのような考え方だと、使えるかもしれない。
というのは、その記事では、個人の公開鍵そのものを相手に渡すのは、それで名寄せされる危険があると疑問を書いたわけだが、FIDOのように、端末側デバイスでカードを認証して、新たにキーペアを生成し、その公開鍵を登録するというやりかたにすれば登録する鍵はすべて違うものにできるのではないだろうか。(カードが識別できる情報であれば良く、電子証明書である必要はないけれど)

世の中にはなかなかの知恵者がいるもんだ。

情報流出のリスクと影響評価

年金機構の情報流出事件後、機構職員を名乗る者によって詐欺被害を受けた人がいることが報道されていた。
だから個人情報の管理には万全を期さなければならないんだという意見が多いわけだけど、私は敢えて違う見方をしたい。

詐欺事件は、機構を名乗る者からの電話があって、それに騙されたものというのだけれど、機構が発表している流出情報に電話番号は含まれていない。

nennkinryushutu.png


流出した受給者情報から、電話番号を検索した可能性もないわけではないが、事はもっと単純かもしれない。
「便乗詐欺」という観測記事も出ているように、機構へアタックして情報を取得した犯人と、この詐欺犯は別なのではないだろうか。詐欺犯は、もともと何らかの攻撃ターゲット(特に高齢者)のリストを持っていて、この事件によって動揺した高齢者の心理をついて、もっともらしさを高める材料として詐欺に利用したのかもしれない。

ひょっとしたら、公表されていない流出情報があるかもしれないが、むしろありそうなのは、詐欺犯がさらに不安を煽るために「公表していないが年金受取口座番号も実は流出しているので直ちに対応が必要だ」などと悪知恵を働かせることだと思う。


情報流出は大変なことである。実際に侵入を受けたわけだから、事務が混乱し、あるいは虚偽情報で書き換えられた危険もある。セキュリティの重大な欠陥であることは論を俟たないし、機構には完璧な対策が必要であることは当然である。
ただ、一方で、機構は事件を公表する際に、この情報流出を過度に心配する必要はないこともPRして、受給者等を落ち着かせ、冷静な対応を求めるべきなのではないだろうか。
  • 基礎年金番号を他人に知られても、年金が詐取されるなど、直ちに受給者の不利益になることはない
  • 年金関係の手続きでは、他人のなりすましを防止するため、本人確認を厳格に行っている

ことわっておくが、この通りであるかどうかは機構が判断しなければならない問題である。
「流出情報が悪用されるおそれがあります」というような広報を行っているところもあるようだが、どういう悪用の可能性があるのか、何に注意したらよいと考えているのだろうか。いたずらに不安をかきたてる結果にならなければ良いが。


これが、年金関係の電子申請が普及していて、その利用者IDが漏洩したというような状況であれば、こんな悠長なことは言ってられないのは当然である。(過去にいろんな情報サービス・サイトがクラックされた事件があるが、私が登録していたサービスの場合は、直ちにID/パスワード変更を行っている。)

そうした具体的危険性を評価するということはなされたのだろうか。
単純に、情報流出→悪用の危険という、漠然とした連想で、止めれば良い、番号を変えれば良い、というようなことを繰り返していたら、セキュリティの向上は望めないし、不要に高額なコストが発生するのではないだろうか。リスク評価を行って対策を行うのはセキュリティの基本だと思うのだけど。

真偽のほどは定かではないが、WindowsPCにはパスワードを忘れた場合でも管理者権限でコマンドを実行する裏技があるそうだ。であるならOSも自分で開発しなけりゃ安心できませんな。


情報流出のリスクや影響評価をおざなりにして、ただ危ない危ないとうろたえ、技術対策ばかり言うのは、むしろ危なっかしいように見えてしまう。

ネットで合鍵

テレビのバラエティ(?)番組の中で、恐ろしい話を聞いた。
番組では、花田虎上(若乃花)自慢のセキュリティ設備をととのえた氏の自宅への侵入を試み、いとも簡単に玄関から堂々と入る。

種明かしは、事前に花田邸を訪れ自慢の鍵を見せてもらい、花田氏が席をはずしたときにその鍵の写真を撮る。
次に、この写真を合鍵屋に送って、合鍵を作ってもらう。
あとは、この鍵で玄関を開ける、たったそれだけ。
鍵にはナンバーが振られていて、このナンバーで鍵を特定できるのだそうだ。

番組では専門家が、こういうネット合鍵屋はいくつかあるが(下の写真はその1社のHPから)、本人確認をきちんとしている、ただし、中にはそういう手順を踏まないところもあるので、自分の鍵を人に見られないようにすることが肝要とのことだった。
orenoaikagi.png

職場の机の引き出しやロッカーなどは、鍵穴の横に番号が彫ってあるのが多い。職場の什器類は、人事異動で使う人がしょっちゅう変わるから、すぐに鍵が紛れてしまい、この番号を見て鍵合わせをしたりするが、もし、什器類の合鍵もすぐ作れるなら、機密書類をこういうものに保管するのは危ないということになる。

また、ネット合鍵屋には、どの家がどの鍵を使っているか丸わかりというわけだから、悪意の人がいたらどうなるんだろう。
こういう心配をすると、他人には合鍵を作れないよう、自分でセットできる番号錠(機械的な4桁とかでなくて電子的な番号錠)や生体認証のほうがよさそうに思える。(それでもバックドアが付いてるかもしれないが)

花田氏は、自宅の鍵を絶対に破られない、頑丈な鍵だと誇らしげに言っていたのだが、似たような話を思い出さずにはいられない。
ICカードや、電子証明書、その他、IT関連のセキュリティのことである。
「ID/パスワードに比べてはるかにセキュリティにすぐれる」と誇らしげに言う人が多い。
昔、公的個人認証制度(JPKI)ができたとき、こういう説明だった。

電子証明書はICカード(住基カード)に入れ、秘密鍵はICカードからの取り出しは不可能、キーペア生成は、独立したキーペア生成装置を使って住民自身が入力するランダム数列をもとに生成するので、システムのどこにも秘密鍵は記録されず、推定もされない。


私はこれを聴いたときすぐに思った。たしかに錠は頑丈だが、これを開ける鍵は簡単に手に入るのではないか、と。ICカードとPINを他人に渡した時点でセキュリティは終わってしまう。

一般に、最大のセキュリティ・ホールはそれを使う人自身である。

タブレット画面上での「署名」

signatureontab.jpg会津若松市では、諸証明の発行依頼をするときに、職員がタブレットを持って申請者に応対、画面上で申請書を作製、そして申請者がタブレット画面上で署名するサービス(「簡単ゆびナビ窓口システム」と言う)を実施しているそうだ。

タブレット画面上での署名が有効かどうか、市としても懸念したとのことだが、総務省は「法的に問題ないと整理するが、最終的には市町村判断」という見解とのことである。
そういえば、生命保険か何かの手続きだったと思うが、タブレットの大して大きくない画面上で「署名」をさせられたことがある。

住民票の交付申請ぐらいなら、裁判になるようなこともないだろうから、結果オーライだと思うのだけれど、一般化できるものだろうか、やはり不安である。不安を感じるのは、

・筆跡鑑定ができるのか
・「署名」が簡単に流用されないか

という2点。

まず、筆跡鑑定だが、タブレット画面上では思い通りに書けない感じで、書き癖とかが紙の上と同じになるのだろうか。何を使って書くのか、指と各種スタイラスペンで違うのではないか。タッチセンサーの性能や筆跡追跡のソフトによっても違ってくるのではないか。

最後の問題だが、タブレット画面をなぞることとそれが画面に表示されることとは直截結びついてはいない。紙にペンで書くのとは違う。普段、意識することはないが、PCのキーを押して画面にその文字が表示されるというのも直截的ではない。不正確の謗りを覚悟で解説すると、
  ①キーの押下→
    ②電気信号のプロセッサへの伝達→
    ③プロセッサの入力割込の発生→
    ④予め指定されたプログラムへ割込情報とともに制御を遷移→
    ⑤プログラム側で割込情報を解析して表示すべき文字を決定してOSへ出力依頼→
  ⑥OSが指定デバイスへ命令を発行

という一連の動作によって「キー押下→画面表示」ができる。つまり、キーを押すということと、画面にその文字が表示されるということは本来独立で、自然法則に則った原因・結果とは言えない。だからパスワードの表示抑制もできる。
このように多段の動作で構成されているから、そのどこに異常があっても正しい動作にはならない。画面上の表示と、センサーが追いかけた筆跡が同じという保証は、究極的には持てないかもしれない。わかりやすい例では、たいていの手書きメモアプリでは、線の太さとかも変更できる。軌跡を自動的に滑らかにするskitchなどのアプリもある。何をもって本人の筆跡かというのは案外難しい。


ただし、本人の筆跡を忠実に画像化していることが前提されるのであれば、タブレット上の署名でも書き癖などは判定でき、筆跡鑑定は可能という話もある。

次に署名が簡単に流用されないか、という不安である。他愛ない申し込み確認だと思って署名したら、実は裏で高額の契約書への署名だった、などという悪質なミミックがないだろうか。まして、一瞬にしてネット上に署名が流出する危険がないとは言えない。

結局のところ信頼関係としか言いようがないわけだが、署名を取り込んだ申請書を最終的にPDFなどに編集して、このPDFを確認するなどの手順があるなら、少しは安心感が増すかもしれない。
(信頼関係がある相手との契約だったら、署名も押印もいらないかもしれないが)

絶対に相手に否認されてはこまるような重要な契約などでは、タブレット画面上の署名では、本当に法廷で争ったときに証拠性があるのか不安である。
ネットで「タブレット上の署名 証拠性」でググっても、ヒットする記事はないようだ。まだ裁判実例はないのだろう。

やはり一般化するのは無理があるような気がする。
そして過度の一般化は、過度のセキュリティ対策、過度のコストと連鎖する。
制度設計ではこのことを忘れてはいけない。

ベネッセからの「ギフト」

ベネッセから、情報漏洩のお詫び・報告のDMが届いた。

筆者の子供が以前、まだ福武書店といっていた頃に、「こどもチャレンジ」をやっていたから来てもおかしくないのだが、まさか、今から20年近く前の話だから来るとは思わなかった。
全国で相当数の世帯に届いているだろうから、珍しくもなんともないが、中にはかすってもいない人もいるだろうから、ご参考までに、こういうDMでした、ということでアップしておくことにする。

application.jpg owabinoshina.jpg   owabitohokoku.jpg roeijouhou.jpg 
一番左が、「お詫びの品」の取得にかかる手続き文書で、ネット申込時のID/パスワードが記載され、葉書で手続きをする場合はそのための通信用葉書(料金受取人払)。その右隣りがその説明文書。お詫びの品としては、楽天Edy、Amazonギフト券、nanaco、図書カード、それと「こども基金」への寄付(いずれも500円分)が選べる。
右から2番目が詫状と経過報告、一番右が漏洩情報の説明となっている。これ以外に「こども基金」の説明が入っていた。

漏洩情報を見ると、名前、性別、生年月日、住所、電話番号となっていて、電話番号以外は住民登録でもわかるような内容だから、これ自体はどうということはない。価値があるとすれば、ベネッセに登録しているという事実、つまり、親がその程度には教育にお金をかけることができるということが推定できることだろう。

mainachan.png話は変わるが、マイナンバー制度の啓発用キャラクターの名前が公募の結果、「マイナちゃん」になったという。
この公募のことを知ったとき、「ベネッセちゃん」で応募してやろうかと考えた。商標問題があるから不採用は間違いないが、失敗の戒めになってよかろうと。

ところで、うちの子供2人が「こどもチャレンジ」をやってたが、今回届いたのは上の子の分だけ。いや、その前に、今の住所に引っ越したのは、子供たちが既に中学校に入っていて、「こどもチャレンジ」はやめていたはず。
模擬試験とか、何か別のことでベネッセに関わりがあったのかもしれない。

パスワード管理ソフト

keepassmain.jpg
昨日の続きで、筆者が使っているパスワード管理ソフトを紹介する。
まず、使っているソフトだが、KeePass V1.27」(Windows版)KeePassDroid」(Android版)
この2つのソフトはメーカーは違うようだが、KeePassDroid側がデータベース互換をとるように作っているようだ。
また、KeePassにはver.2もあるが、筆者はver.2が出る前から使っているのでそのまま。なお、ver.1とver.2はデータベースが非互換(ただしver.1のデータベースをver.2で取り込むことは可能)

ソフトウェアのインストールや機能紹介はいくらでもネットで見つけることができるから、筆者の設定を中心に解説する。

データベースの設定とキーファイル
まずデータベース(ID/パスワードを記録しているファイル)だが、これは暗号化された形で保持されており、ファイル・ダンプをとっても可視的な状態にはならない。暗号方式はAED-256共通鍵暗号(今のところ解読アルゴリズム等は見つかっていない)とされている。
keyfilegen.png
この暗号化のキーとして、パスワード(ソフト起動時に入力する文字列)を使う方法、キーファイルというデータを使う方法、その両方を使う方法が選択できる。
筆者は、以前はパスワード保護のみにしていたのだが、データベースをオンライン・ストレージに置くことにしてから、パスワード+キーファイルとした。
オンライン・ストレージがハックされデータベースが漏洩した場合、さらにパスワードが推測されたとしても、それでデータベースを読むことはできないということになる。パスワード併用というのは、端末を盗難・紛失した場合への備えである。

使えばわかるが、キーファイルは適当な文字列をファイルにしても良いのだが、ソフト自体がキーファイルの生成機能を持っているから、これが便利だと思う(生成機能を使うとマウスでランダムにクリックした情報がキーファイルになるようだ)。
筆者は、KeePass、KeePassDroidをインストールしているPC、スマートフォン、タブレットのローカルファイルとして、キーファイルを置いている。(さすがに、キーファイルもオンライン・ストレージに置くのは不安)
pwdgenerator.png


使っていて機能的に便利だと思うのは、やはりパスワードの自動生成である。
昨日「強いパスワード」のことを書いてきているが、筆者はこのソフトのパスワード自動生成機能を使って、従って自分でも覚えられない文字列をパスワードにしている。
従ってパスワード・データベースが壊れるのが実は一番怖い。データベースをオンライン・ストレージに置いているのは、便利さに加えて、PC等がクラッシュした場合のバックアップ対策でもある。

データベースの同期

オンライン・ストレージに置いたデータベースは、当該ストレージのPC用クライアントソフトを使うことにより、使っている全PCで同期する設定である。
Androidスマホ/タブレットでは、同期ソフトは標準ではない。このため、FolderSyncという同期用アプリをインストールしている。(クライアントソフトはあるが、同期するものではない。スマホ等はローカルストレージが小さいから、オンライン・ストレージと完全同期するとかえって都合が悪いのかもしれない。)
FolderSyncでは、オンライン・ストレージ側のフォルダと、スマホのローカル・フォルダを対応付けて、そのフォルダのみ同期するように設定できる。KeePassのデータベースもそのフォルダに置いて、同期させるようにしている。なお、常時同期するのも負荷が高くなるので、変更時は即時にオンライン・ストレージに反映するが、他の端末(Android)では積極的に(手動)同期操作を行うようにしている。
これにより、どこかの端末で新しいエントリを登録したり、パスワードを変更したりしても、使用している全端末が同期をとれるので、ある程度気軽にパスワードを変更できるわけだ。

安全対策ではこういう気軽さは重要だと思う。いくらすぐれた対策でも、それがあまりに面倒ならやらなくなることが必定だから。


【追記】
cloudfoggerの調子が悪い。急にonedriveの同期ができなくなった。このため、同期ソフトをonesyncに変更した。

   「FolderSyncが動かない、ESファイルエクスプローラも使えんなぁ」を参照

パスワードの作り方

パスワードの管理(その1)パスワードの管理(その2)で、パスワードが強いとはどういうことか考えてみた。今日はその続編。

前の記事の最後に、たくさんのサイトにユーザー登録していると、強いパスワード、サイトごとに違うパスワードというのはなかなか難しく、簡単にそうしたパスワードを作成、維持管理する方法が必要と書いた。今日はそのアイデアについて巷間で推奨されているものをまとめてみた。

強いパスワード
文字列が長い、英字(大小)、数字、特殊記号が混ざっている、というようなのが強いといわれている。前にいた職場では、8文字以上、必ず特殊記号を含むこと、というルールになっていた。ITがあまり得意でない上級幹部でも文句を言わずに従っていたと思う。
しかし、このような文字列は往々にして覚えにくいものになりがち。一見複雑で、他人(コンピュータも含め)からは推測されないが、自分は忘れないパスワードをどうやって作るか。

kyoko_yuwaku.jpg以前、警察のサイバー犯罪担当による不正アクセス禁止法関係の講演を聴いたことがある。ちょっとしたことからサイバー犯罪をしてしてしまうドラマ(山田まりあ主演。この種の啓発ビデオはたくさんあるようだ)の上映後、パスワードの管理について、講師の警視から、なるほどというヒントをいただいた。
講師が使っているパスワードが、「Wma8j'O」というようなものだそうで、これは、
Watashi wa mai asa 8ji ni Okiru.」の意味だとか。これだと自分は忘れないが、他人には何のことかわかりにくい。
この例は自分の日常の行動から導出したわけだが、好きな歌の歌詞から構成語の頭を取るなども良いかもしれない。たとえば、
にしへの らのやこの くら ふ ここのへに ほひぬるかな」から、「INm8zk9n」とかだと推測されにくそう(この例は特殊記号がないからもう一工夫いるかも)。
なお、良く忘れにくい言葉を逆スペルにする(例えば、eraepsekahs とか)のを見かけるが、辞書を使ったクラックではトライされる可能性の高い文字列と考えられるから、避けるほうが良いだろう。

amazonid.pngサイトごとに異なるパスワード
強いパスワードでも、同じものを使いまわしては弱くなる。テレビ番組で紹介していた方法は、サイトごとのパスワードを紙に書いてPCの横に貼っておくのだそうだ。ただし、強い、忘れにくいパスワードと組み合わせて使う。たとえばAmazon用のパスワードが「xxx」として、前項のパスワード「INm8zk9n」と組み合わせて「xxxINm8zk9n」とするのだそうだ。

昨日のハッキング考で書いたように、あるサイトのパスワードがばれてしまった場合、クラッカーは別のサイトでも同じパスワードを試そうとするらしいが、パスワードの作りの知識はないだろうし、仮にそうとしてもどこがサイト用、どこが共通かを推測するのは難しいだろうから、効果があるということになるらしい。

というようなことなのだが、筆者はこんなことはしていない
たくさんのサイトがあると、IDだって思ったものがとれるとは限らない(というか違うIDの方が安全だろう)。
やはり、IDとパスワードをセットで管理してくれるソフトが便利
この種のソフトは、多くの人が使っていると思うが、未だ使っていない人のために、次稿では筆者が使っているソフトについてご紹介したい。

パスワードの管理(その2)

昨日の続き。
今日は、パスワードが「強い」というのはどういうことなのか考えてみる。

総当たり方式ならいつかはパスワードは破られるわけだが(RSAとかは宇宙が死滅するまでかかるとか)、その計算量は相当大きなものになるから、クラックする側は試行すべき文字列のセットをある程度限定しているはずだ。
pswd01.jpg
パスワード管理ソフトメーカー米SplashDataが発表している「弱いパスワードランキング」というのがある。
クラッカーは、多くの人が使っている覚えやすい文字列、その人に関連する文字列、そういうもので試行すると考えて間違いない。強いパスワードの条件のそれぞれについて、クラッカーのやりそうなことから考えてみる。

パスワードを複雑(人があまり思いつかない)にする理由

前述のとおり、いろんな文字列を総当たり方式で試行するなら、複雑か単純は意味をなさない。しかし、クラッカーは総当たり方式ではなく、まず単純な文字列で試行するらしい。1234とかabc、password、などユーザーが覚えやすく、入力するのが面倒でないような文字列である。


パスワードに誕生日や電話番号を使ってはいけない理由

これはそのIDを持っている人の個人情報が知られた場合に起こる。前述の試行する単純な文字列のリストに、これらが加えられるからである。


パスワードを使いまわしてはいけない理由

1つのサイトのパスワードがばれてしまったとき、その人の別のサイトで同じパスワードで試行される。またこのパスワードリストが闇マーケットにも流れるらしい。


以上をまとめると、クラッカーは単純な文字列で試行する、単純とはは、見た目(ありふれた)、個人に結びつく、他と同じ、という尺度で考える必要があるということだ。

パスワードクラックのためのツールがある

辞書に乗っている単語とか、キーボード配列にそった文字列というようなものは、ユーザーが覚えやすい(忘れにくい)という理由で多用される傾向にあると言われている。こうしたものを集めたクラック・ツールがあるらしい。辞書にのっている単語というのはせいぜい数万語である。8文字からなる文字列の数(英字26文字のみとしても2千億通り)にくらべて圧倒的に少ないから、クラッカーとしては試しがいがあるというもの。


勘違いしてはいけないのは、多くのクラッカーは特定の個人を標的にするより、クラックしやすいユーザーを探しているということ。どうして私のパスワードが単純だと気付いたのか、ではなく、パスワードが単純だったあなたがクラックされたということ。IDを固定してパスワードを総当たりするのではなく、パスワードを固定して、IDを総当たりするという手口もある。パスワード不正を何度か続けるとロックするサイトは多いが、IDが違っていればそうしたロックはかからない(同じところから異なるIDでログインを試みる行為を怪しいと考え、同一アドレスからの試行を止める対策をするところもあるようだが)。

利用しているサイトが利用者情報を盗まれた場合

普通のサイトはID/パスワードの管理は厳重で、内部の職員、システムの管理者でもパスワードを見ることはできないシステムになっている。ところが、実際には元のパスワードにある種の関数を作用させることで人の目には見えにくいようにしているだけという場合がある。この「ある種の関数」に安易にMD5などのハッシュ関数が使われていると、同じ文字列から同じハッシュ値が得られるため、関数の適用結果を比較すると元の文字列が推察されてしまう。特に元が単純な文字列だと容易にばれることになる。


<MD5によるハッシュ値>
  文字列          MD5ハッシュ値                
  12345678         25d55ad283aa400af464c76d713c07ad
  password         5f4dcc3b5aa765d61d8327deb882cf99
  a             0cc175b9c0f1b6a831c399e269772661

なので、パスワード文字列だけでなく、それに登録日時など別のデータを加えること(ソルト処理)で、ハッシュ値から推測されないようにするなどの手法もある。


<MD5によるハッシュ値>
  文字列          MD5ハッシュ値                
  a             0cc175b9c0f1b6a831c399e269772661
  a20140712090001      6b2be4b0645e7d88e264bf413a7f0a08
  a20140712090002      460c5fa6d69fb75a4bec65cc3c40ab89
  a20140712090003      8cac8697f7c8f56aa219522c5e58390d

しかし悪知恵の働く人はいるもので、こういう場合でも登録日時をソルト処理に使ってるのでは、と推測されないとは限らない。


パスワードを一定期間で変更する理由

30日とか90日とかでパスワード変更を要求するところがある。同じパスワードを使い続けると破られやすいというのだが、実はあんまりそういう危険は感じない。本当にクラックされるようなら30日ぐらいで変更しても既にクラックされた後だろう。パスワードの変更が推奨できるのは、登録サイトのユーザー情報が漏洩した場合と、自分が使っていた機械を廃棄する場合(後者の場合はハードディスクを完全消去(disk shredderなどで)すれば危険度が上がるとは考えにくいが)。
実際、私も登録しているサイトで情報漏洩が伝えられたときは、面倒だがパスワードを変更している。


こう考えてくると、パスワード管理の極意なるものはそれぞれちゃんとした裏付けがあって推奨されていることがわかる。そして、この極意を守ることはそんなに難しいことではない。ただし、管理すべきパスワードが少ないうちは。
だが、ネットを使っているうちに、どんどん会員登録等をしているサイトが増えてくる。そうなるとこうしたルールを守ることは大変難しくなる。
強いパスワードを作成・維持管理する簡単な方法が必要である。

パスワードの管理(その1)

昨日、LINEのIDの乗っ取り事件から、ID/パスワード管理をきちんとしようと書いたのだが、そもそもパスワードの管理についてまとめて考察して、自戒に結び付けようと思う。

以前、利用者認証は本人認証と権限認証に分けて考えるべきと書いた。本人認証はいろんな方法があるというものの、最も一般的なのはID/パスワード。昨日、IDの乗っ取り事件のことを書いたから、どんな風にパスワードがハックされるのか、読んだこと、推測を交えてまとめてみる。

IMG_20140725_212844_879.jpgまずおさらい。本人認証の原理は、その人しか持っていない(はずの)ものを提示することで、その人であると推定することである。指紋などのバイオ認証も一般化してきて、iPhone5の指紋認証は結構優秀なように見受ける。また、私の家のPCはもう5年以上使っているが、指紋認証がついている。パスワードを入力するよりは指紋を認識させるほうが操作はラクである。(ただし、PCの起動に時間がかかり、電源ONからログイン画面になるまでPCの前で待つのがうっとおしいので、この頃はICカードリーダーにスマートフォンを認識させてログインするズボラをかましている。)

とはいうものの、こういうバイオや物理的な認証はローカルな機能であって、インターネット上の各種のサービスを利用するにはそれぞれのパスワードが必要である。考えてみれば不思議な話で、家のPCへの不正ログインは、盗難ぐらいしか考えにくいのに対し、ネットのサービスへの不正ログインはどこでもできそうなわけで、やはりパスワードの管理が重要である。

一般に、パスワードの管理については、簡単なパスワードは避ける、異なるサイトで同じID/パスワードを使い回ししない、とか、同じパスワードを使い続けないというような「極意」が教示されるのだが、これをきちんとやるのはかなり面倒である。
面倒だからやらないということが、なぜ、どのくらい危険なことなのか、それについて考えてみる。

まず、押さえておきたいのは総当たり方式でパスワードクラックが行われる場合には、これらの「極意」に特に有効性はないと考えられること。機械にとってわかりやすいかどうかはせいぜい長さの違いぐらいのものである。

パスワードクラックのためにスーパーコンピュータを使うとか、大量のPCをネットワークして分散処理するなどがあれば、別だが、普通はパスワードが長ければ総当たり方式でクラックされることは考えにくい。もし、そういうコンピューティング・パワーを持った者から攻撃されたら(実際、暗号などはそういうチャレンジをさせることで安全性を確認することもあるようだ)、破られるだろうが、そうしたケースでは、「強いパスワード」でも破られるだろう。

zipファイルなどはパスワード保護ができるようになっているが、これをクラックするフリーソフトはたくさんある。これらのソフトの多くは総当たり方式でパスワードを発見しようとするもので、試行回数に制限がないから、短いパスワードだと時間さえかければ解ける。

4桁以内の英数字記号だったら、1桁95種類あるとして、95+95×95+95×95×95+95×95×95×95=82,317,120回の試行。1秒に100種類試行するとして229時間(9.5日)で確実に解けることになる。平均ならその半分115時間で解けるだろう。(95というのはASCIIコードで文字が当たっている数)
銀行カードのように4桁の数字だったら、単純に1万通りしかないわけだから100秒で解け、英数字記号8桁にすれば200万年(平均100万年)というわけだ。
もちろん試行速度が速いとそれに応じてクラック時間は短くなる。1秒に100万回試行できるなら、英数記号4桁だと82秒で解け、8桁だと200年だ。その1000倍の能力(1秒に10億回試行できるコンピュータや、1000台のPCで分散処理)なら、8桁でも0.2年=73日となる。さらにその1000倍だと、2時間弱。(きりがないけど)


実際には、多くのサービスではエラーリトライを一定回数繰り返すとIDが無効になる措置がとられている。ただし、パスワードを固定して、IDについて試行するクラックだと、無効措置は効かない。弱いパスワードの人だけがあぶりだされることになる。

裏を返せば、パスワードクラックは普通は、総当たり方式でやられているとは考えにくい。
長くなったので、「強いパスワード」の意味については明日。

IDの乗っ取り

昨日はメールアドレスの廃止に気を付けようということを書いたのだが、今日は、違う面から、取得したID/パスワードは放置せず、普段からきちんと管理しないとだめということをあらためて。

linenottori.jpg少し前だが、LINEの乗っ取りが話題になった。乗っ取って他人に成りすまし、プリペイド型電子マネーの購入を依頼したというもの。私も興味半分でLINEをインストールしているけれど、実際には全く使っていない。この事件を聞いて、取り急ぎ「ログインはこの端末からに限る」にチェックしてあることを確認した。

ネットなどでは、他人が端末をさわったらパスワードを簡単に変えられるから乗っ取られる(仕様変更でパスワード変更には旧パスワードが必要になったそうだ)などと書かれているが、犯人が物理的に端末をいじってるというのは、私としては、あまり考えられない。ありそうなのは、端末を限定する設定にしていないためにパスワードクラックされて、犯人のPCからの成りすましログインを許してしまったということではないだろうか。

実は、私も今までは、お金がからまないようなサービスについては、あまりパスワードに気を遣っていなかった。しかし、こういう事件があると、自分に直接的な経済的被害がなくても、成りすまされるだけで迷惑をかけることがあるんだなと、あらためて気づかされる。私を名乗って悪事を働く奴がいるなんてとても許せることではない。

考えれば、結構多くのサイトのユーザー登録をしている。銀行やクレジット会社はもちろん、クレジットがリンクしている通販サイト、メール、オンライン・ストレージなどは、パスワードが漏れたときの被害が想像しやすく、パスワード管理に気を遣っているが、メールアドレス収集目的だろう、ちょっとしたことで「利用者登録をお願いします」というサイトにも結構登録している。

こうした中で危ないのは、普段使わないサイト。乗っ取られていても気がつかない。
かといって、サイト側から、パスワードを変更しろとかしょっちゅうメールを送ってこられるのも煩わしい。
どうでも良いサイトへのユーザー登録には、どうでもよいメールアドレスを使って自衛するという人もいる。
乗っ取られてもこちらの身元に関わる情報がなく、私を名乗って悪事を働くようなことはないだろう、ということ。

もっとも、メール中で名前を騙られて、それを信用されたら同じことになる。
前にいた組織でのこと、組織内の某部署を名乗る人物から、関係団体に一斉に情報照会メールが出されたことがある。メールアドレスは擬装されていなかったが、本文中に「○○課△△係の××です」といった記述があり、「このメールへの返信で回答してください」とあったようである。これを信じて依頼された情報提供に応じたところも半分近くあったようだ。メールが乗っ取られているわけではないので不正アクセスではない。ただ、詐称したのが官公庁であれば、軽犯罪法(官名詐称)にあたる。
ただ、残り半分は、メールの内容から判断して、何故こんなことを照会してくるのか不審に思って返信していないし、この事件が発覚したのは、メール内容を実際の組織へ電話で問い合わせたかららしい。なお、メールアドレスから差出人の特定は可能だったが、具体的な被害もないことから、本人への注意のみで、法的対応はとらなかったと聞いている。

やはり、ある情報を信頼するかどうかは、総合的に判断することが重要だ。
LINE乗っ取りによる詐欺への対策も、その内容でアヤシイと感じることがネット人に必要な感性なのだろう。

安全なネット生活~フィッシング

ベネッセの情報流出事件のように、こちらでは防ぎようのないものもあるが、自衛できることもある。
報道などでも「ネットの利用に注意」、「ID、パスワードを厳重に管理」とか、脅し文句が並んでいる。
某銀行は、テレビでもしつこいほどフィッシングを警告するCMを流している。
思うにセキュリティを喧しく言われても、ユーザーとしてはどうしたら良いのかわからない、というのが実際のところ。

2014_07_09_10_57_48.jpg先日、某大学の市民にもオープンにされている講義を傍聴したのだが、聴講生(初老?の女性)から、「ネットは便利だと思うし、使っていきたいけれど、一方で、危ないとも言われる。ネットを安全に使う教室のようなものを市役所とかでやってもらえないだろうか。」という発言があった。
もっともなことだと思う。ユーザーを脅かすだけではダメだから。

その某銀行のフィッシングサイトだが、あまり気にとめてなかったのだけれど、思っていた以上に巧妙だ。
fakepage.jpg truepage.jpg

(左が偽、右が正)

「必ずご確認ください!!」とか、ベリサインのロゴも入ってる、本当に凝ったページである(作ってる人は趣味と実益を兼ねてるのか)。

で、笑うのは「フィッシング対策協議会」というところの警告文で、「2. このようなフィッシングサイトにてアカウント情報 (ご契約番号、IBログインパスワードなど) を絶対に入力しないように注意してください」だと。
logincert.png
銀行側では、本物・偽物を見分けるポイントを広報しているが、「当行では・・・」式の注意点はサイトによって違うだろうが、電子証明書については、この銀行に限らず、銀行やネットショッピングサイトでは、ちゃんとしたところの電子証明書(サーバー証明書)を取得しているはず(でないとSSL通信利用時に「信頼されていない証明書」警告が出るはず)で、一般常識として身に付けておくべきだろう。

右画面はFirefoxの場合(IE、Chromeなど他のブラウザでも同様。下の画面はAndroidタブレットのChromeの場合)、アドレスバーに緑色で証明書ありが表現され、クリックすれば簡単に認証状態がわかる。たったこれだけ、手間を惜しむというようなものではないはず。(緑表示にならない場合、Firefoxなら「ツール」-「ページの情報」-「セキュリティ」で確認)
share_2014-07-15-11-30-03.jpgVerisignのロゴで安心しては余計まずい。フィッシングサイトは「真正サイトであることの確認方法」という表示までマネてるが、ここをクリックしたら何が出るんだろう。

電子証明書というと、この銀行からのメールは電子署名付きで来るのだが、Outlookなどのメーラーだと簡単に署名確認できるのだが、Webメール(Google)では結構面倒で、電子証明書が添付ファイルになって、一旦それをダウンロードして、証明書として開き直す必要がある。このあたりはGoogleも考えてもらいたい。

ところでVerisignに電子証明書発行を申請すると、申請責任者にVerisignから電話がかかってくる。

Verisign 「六二郎さまですか」
六二郎  「はい、そうです」
Verisign 「このたび当社のサーバー証明書を申請いただきましたが間違いありませんか」
六二郎  「間違いありません」
Verisign 「わかりました、それでは手続きをすすめます」

これだけ。だいたい申請責任者は職位は高いが技術は素人だから、ややこしいことは聞かない。
ここだけ書くと証明書の信用性が軽く見られそうだが、実際は、「電子署名法(電子署名及び認証業務に関する法律)」に基づき、細かく規定された同法施行規則に従って業務が行われるはず。
(上のやりとりを書いたのは、一度で良いから「あなたがVerisignのしかるべき担当社員であることを証明できますか」と言ってみたかったからで、他意はない。)

ネットは怖いといってネットバンキングを使わない人もいるようだが、キャッシュカードと4桁暗証番号があんまり安全には思えない(今はそんなことはないと思うが、キャッシュカードの出始め頃は、磁気ストライプに暗証番号を書き込んでた銀行があるくらい)。それにATMへ行って現金を出し入れするのも剣呑だと思うが、どうだろう。


個人情報流出事件

cd45d1f0.jpgベネッセの顧客情報、最大2000万件が流出したことが連日報道されている。データベース管理を委託されていた会社の派遣社員がコピーを持ち出した容疑が濃かったが、最新のニュースでは、被疑者が漏洩への関与を認めていると報道されている。
コピーした形跡(ログ)があったということも伝えられているが、そうだとしたら犯罪としてはあまりに稚拙。稚拙だが、繰り返されるのはこういう人的な流出。宇治市住民票流出事件もシステム開発業務の再々委託先アルバイトから。

セキュリティ対策が無駄ということではなく、例えば権限のない人による操作とかネットからの流出などにはさまざまな有効な対策があるわけだが、根源的に管理に携わる人に悪意がある場合は流出防止が難しい。システムログや、特権的処理を行える端末やコンソール操作のカメラ監視などで、流出時に犯人を特定できるようにしておくことで対抗するぐらい。
それにしても、ベネッセは気付くのが遅すぎる。発覚のきっかけは顧客からの問い合わせ(不審なDMが来る)だそうだ。(昔、家に来るDMで、届く程度に住所の書き間違えがあるのが、複数個所から来ていたことがあって、ふーんそういうことか、と思ったものだが、それを意図的にやるのも面白そうだ。)

今後、持ち出した犯人は不正競争防止法違反(産業スパイ)容疑で取り調べらるという。現行法では他に適当するものがないらしい。以前、神奈川県で高校授業料の引落口座情報が流出した事件があり、流出ルートにあったシステム関連企業とはそれなりに決着したらしいが、流出してしまった情報を回収することは困難であり、県から、流出情報の廃棄・流通差し止めを立法化してほしいという要望が出されていた。

もっともなことなのだが、現実には流出元が特定できることはまれだと思う(前述の私の家にくるDMのように、ちょっと変な住所表記とかはマークになるけど特殊ケース。ディジタルデータなら電子透かしの技術があるが)。
住民基本台帳情報の流出を心配する向きもあるが、住基の4情報(氏名、性、生年月日、住所)だけだと、流出元の特定は難しい(外部利用を禁止している住基コードでも付いてたらわかるかもしれないが)。また、流出元がわからないように加工して流通することも考えられ、実効性があるかどうか微妙だと思う。

流出情報の廃棄・流通差し止めの立法化は犯罪防止の観点から大歓迎だが、個人の立場で考えると、それでも闇での取引が完全にとめられるとは思えないし、拡散した情報は回収不能(エントロピー増大の法則)だから、直接的・経済的被害に結びつくおそれのある情報を、無効化して対応する、つまり、改名とか転居は難しいけど、銀行の口座番号やクレジットカードの番号などが漏洩したら、これらをそもそも解約することで対抗する必要がある。
ところが、これがとても面倒である。(某ショッピングサイトのカードを使っていたら、提携クレジット会社を変えるので継続発行しないと一方的に通告してきた。利用者の手間はどうしてくれるんだ!)金融機関やクレジット会社がそういう手間を代行するようなサービスをしてくれたらありがたいと思うのだが。

ところで、テレビ報道では、こうした個人情報は1件10円前後で取引されるというから、単純には2000万件なら2億円ということになるが、故買だと持ち出した人はきっと買いたたかれただろう。
名簿業者のほうも、こんな怪しげな行為で2億の取引なんてできそうもないから、1口100万円ぐらいになるように小分け(例えば地域別とか、年齢別)しそうだ。100万円でも10万件もあるわけだから、統計目的では十分すぎる件数を稼げる。

ちなみに、周りには「こどもチャレンジ」などをやってる子供の親もちょくちょく居るわけだが、「もし1件500円の詫び金やったら、500円×2で1000円もらえるな」という不届き者もいる。

電子証明書の有効性(続き)

「リアル世界に実在する人間とのリンクがない電子証明書って、一体何だろう。」の続き。

部分的な答えの一つは、そういう証明書でも知り合い同士が了解の上なら、本人認証用として使用できる。
前回「社会的に○○と認識されている人、その本人が操作している」というのが電子証明書の意義だと書いたが、信頼できる第三者によって○○と認識されているという部分がなくても、知り合い同士において、これが私の証明書ということを伝えていれば、証明書の証明事項は何でも構わない(メール証明書ならメールアドレスは記載が必要)。
そして、それだけでも電子署名の効果(公開鍵暗号システムの原理から導かれる)はある。
電子署名の効果
・否認防止―電子署名を付した文書は署名者が発出を否認できない
・完全性―電子署名を付した文書は、その後に改竄されていない

実際、世の中には無料の電子証明書発行サービスがあり、このようなサービスでは、申請者へのメール到着以外に申請者を確認する手順は存在しない。つまり「社会的に○○と認識」という部分はないわけだが、それでも知り合い同士がメールを使う場合には問題はない(PGPを使うのと同じレベルだろう)。

問題は知り合いでない場合。
公的個人認証(JPKI)では、市町村の住民登録と照合して申請者の実在を確認、証明書に4情報を入れるわけだが、昨日書いたように現住所を公開することはリスキーという人もいる。(なお、JPKIは電子申請用途のため、メール証明書としては使えないことになっている)
もし、健全なネット社会で暮らすため、国民全員がJPKIの証明書を使えと言われたら、こういう人は困ってしまう。
ドイツの国民eIDではペンネーム(仮名)の電子証明書が出せる。最初は何のためなのかわからなかったのだが、本人認証の役割しか持たないのであれば仮名でも構わないわけだ。

知り合いでない場合は、相手を信頼するよすががないわけだが、市町村に住民登録しているからといって、その人の言うことを信頼できるだろうか。
できないだろう。そういう人が実在することが保証されれば、ある程度その人の言うことを信頼する根拠にはなると思うが、言うことすべてが信頼できるわけではない。
実務上も、センシティブな申請の場合、さまざまな情報をもとに申請内容の信頼性が判断されるのであって、電子証明書が申請内容の信頼性を保証することなどありえない。
つまり、証明書に書かれていることは、本人の実在と(何か問題があったときの)追跡可能性が高いことを示してはくれるが、それ以上の信頼を電子証明書に求めるのは過剰である。過剰な仕様はたいてい過大な投資・負担を招く。

たとえばJPKIでは転居すると失効することになっている(新制度ではどうなるのか、まだ調べてない)。JPKI証明書は現住所を証明事項と考えているから論理的にはそうなってしまう。
身分証明としてもっと頻繁に利用されている自動車運転免許証は、転居しても失効しない(転居の届け出は義務付けられているが)。
JPKIも失効させなくても良いのではないだろうか。電子証明書発行時点で、その人がその市に住民登録があったということを証明しているものと考えても、実在性や追跡可能性が著しく損なわれるとも思えない。(それより相続が発生したときに原戸籍をみんな集めて追跡しないといけないというほうをなんとかしてもらいたいものだ)

あたりまえの結論だが、JPKIをすべての電子取引やメールに使おうということにやはり無理があるのだろう。それより、民間認証機関が電子証明書を発行する手続きを電子的に行う場合にJPKIで署名を付ける、民間認証機関は本人の追跡ができる情報を保持した上で、住所を隠したい人にはそういう証明書を発行する、JPKIが用途としないメール証明書を発行する、そういう官民役割分担があって良いのではないだろうか。
(そしてそういうサービスがあったとして、元のJPKIが失効したら民間証明書も失効させるべきと考えるか?)
certsample.png

利用者認証=本人認証+権限認証

ネット・サービスでは、それが正当な利用者によって操作されていることを確認すること、いわゆる利用者認証が必要である。
利用者認証は、本人認証(確認)権限(正当性)認証という、2つの異なる機能に区分できる。すなわち
本人認証:端末を操作している人がシステム利用者として登録されているその本人であることを確認すること
権限認証:操作者がその人であることを前提に、その人に操作権限があるかどうかを確認すること

identify.png本人認証では、本人しか持たない情報を予め登録し、サービス利用時にそれを照合する。
本人しか持たない情報とは、本人の身体的特徴(指紋、網膜、静脈、顔、声紋など、いわゆるバイオ認証)、本人しか所持しないもの(操作用のカード、スマートフォン、電子証明書など)、本人しか知り得ない情報(パスワード)などのこと。このようにさまざまな手法があり、セキュリティ商品としてパッケージされているものも多い。

権限認証は、利用者の諸属性を登録しておき、その人にどういう権限で、どういうサービス利用を認めるかをチェックするものであり、セキュリティ技術ではなく、アプリケーションの仕様上の問題である。

多くのBtoCサービスは、家庭に特別な本人認証デバイス等を前提することができないため、普通はID/パスワード認証が使われる。通常これは利用者登録と表現され、IDの発行、パスワードの指定とともに、取引上必要な属性情報(決済方法、住所、メールアドレスなど)を登録する。IDとパスワードが本人認証にあたり、その他の情報はサービスを提供する場合の属性情報(決済方法によって手数料が違うとか、住所によって送料が違うなどという使い方もなされる)であり権限認証に利用される。

組織内システム(組織内ネットワーク接続、メール、勤態管理、出張届、その他組織内手続)では、利用者はその組織の構成員で、通常、所属部署や職階という属性によって利用できるサービスが異なる。このそれぞれのサービスが独立し、それぞれが認証システムを持っていては、利用者に煩雑なので、シングル・サインオンが望ましいとされる。

ところが、シングル・サインオンを標榜した統合システムはあまりうまくいっていない、という話を聞いたことがある。その原因の一つは、本人認証と権限認証を区別せずに考えたことにあるのではないだろうか。
システムを設計する人々の間でも、意外にこの区別が自覚されていないように思う。

この2つを分けずに考えると、認証用の情報には対象サービスすべてに使えるだけの個人属性データベースを用意することになるが、この組み合わせは新しいサービスができるたびに見直しが必要になるかもしれない。また、実装上は、ネットワークへのログオンを基本に考えることになるが、そのためのディレクトリは利用しているOSに依存するから、他の業務で使えるようにするには無理が生じるだろう。一方、業務アプリケーションはパッケージで提供される例が多く、その場合、パッケージが持つ利用者認証システムを使うのが自然で、これに多くの機能を付加することは現実的でない。

そもそもシングル・サインオンのねらいは、サービスを切り替える毎にID/パスワードを入れ直さなくて良いということでしかない。そのために認証システムを統合する必要などはない。Chromeなどのブラウザがやっているように、各サイト用のID/パスワードを記憶しているだけで十分である(一般家庭でもこれによりシングル・サインオンが実現されている)。
そこまで手を抜かなくても良いが、要は本人認証を各サービスの本人認証へリンクさせることができれば事足りる。各業務アプリケーションはそれぞれが想定する利用秩序に応じて、それぞれが権限認証について考えれば良いだろう。

繰り返しになるが、本人認証と権限認証の違いを認識し、自覚的に設計することがシステム屋の責任だと思う。
Gallery
検索フォーム

⇒記事一覧

プロフィール

六二郎。六二郎。


定年退職
苦しい家計の足しに再就職
=いつクビになってもええねん
 言うたもん勝ちや!のブログ
リンク
最新記事
最新コメント
最新トラックバック
アーカイブ
カテゴリ
タグ

書評 ITガジェット マイナンバー Audio/Visual 

現在の閲覧者数
聞いたもん