セキュリティと童話
最近は季節の挨拶もSNSへの書き込みだけですませたり、場合によってはオリジナルでクリスマスカードや年賀状をデータで作って、データやリンクをメールやSNSに貼り付けて済ませている人もいらっしゃるかと思います。で、そういうネット上の季節の挨拶を装って、実はただの広告だったり、悪い場合にはマルウェアデータが送られてきたり、感染サイトへ誘導されたりというのが、「前に流行ったなぁ」と思いだしたりしました。
某、セキュリティ関係の忘年会で「大学で物理専攻だったため、SF映画にのめりこめない」という話があったのですが、セキュリティを仕事にしていると、他の人は考えないであろうことを考えてしまう、というような話です。
開けゴマ
「アラジンと魔法のランプ」
私が子供のころはディズニー社のアニメはまだありませんから、絵本とか普通の本で読んでたりしてました。最近だと、アニメから入る人が多いと思われます。この中で盗賊の隠れ家である洞窟の大きな岩の扉を開ける呪文が「開けゴマ(Open Sesame)」なわけです。セキュリティ的に言えばこの「開けゴマ」はパスワード(パスフレーズか?)にあたります。
で、洞窟の前に立って大声でこの呪文を叫ぶと、岩が開くわけです。この洞窟には音声認識技術が使われているようです(もしくは、扉の開閉を管理する人が判断しているだけかもしれませんが)。盗賊団の首領の声でもアラジンの声でも開くということなので、呪文を唱えているのが誰かを識別するとか、声紋による生体認証とかは行われていないようです。パスワードとして長さは13文字、でも、使われているのはアルファベットだけだから複雑性は少し足りないようです。
とあるパスワード強度チェックサイトで試してみると0~4の5段階で3の「許せる」レベルだそうです。あ、最後に「!」を入れると4の「問題なし!」になりました。
ガラスの靴
「シンデレラ」
シンデレラは王子様の舞踏会に運良く参加できました。王子様と自己紹介もせずにダンスを踊ります。その前に、お城の警備をする人はシンデレラがどこの家の娘かチェックしなかったのでしょうか?いや、「国中の年頃の娘」が参加条件だからそのあたりはノーチェックだったのでしょうか?
そして、自己紹介もせずにダンスを踊る!仮面舞踏会ならわかりますが、王子も踊る相手が誰かくらい、確認しないのでしょうか?いや、王子はもともとその舞踏会に乗り気ではなかったから、どうでもよかったのでしょうか?でも、気に入って踊るのであれば、名前くらい聞いておけよ。
シンデレラは魔法が夜中の12時に解けてしまうので、解ける前に舞踏会の会場を逃げ出し、ガラスの靴を片方落としてしまいます。そして、王子様はその「名前を確認し忘れた娘」を探すことし、落としていった「ガラスの靴」がぴったり合う娘を探すように命令するのです。さて、国中に娘は何人いるんでしょうか?
醜い老婆?
「白雪姫」
白雪姫は継母で魔女のお后様に殺されそうになりますが、家来の狩人のおかげで七人の小人の元に逃げ込み、そこで暮らし始めます。
魔法の鏡で白雪姫が生きていることを知ったお后様は、魔法で醜い老婆にその姿を変え、毒リンゴを白雪姫に食べさせ殺そうと計画します。そして、七人の小人が仕事で出かけている間に白雪姫に近づき、うまく言いくるめてとうとう白雪姫は毒リンゴを食べてしまったのでした。
なるほど、白雪姫に毒リンゴを食べさせるために、ソーシャル・エンジニアリングとして自分が魔女のお后様であることを悟られないようにしたわけです。まずは、用心深い七人の小人がいない時間を狙って接触する。これは、効果的な攻撃手法でしょう。
しかし、醜い老婆に姿を変えるのは効果的でしょうか?
むしろ、「善良なリンゴ農家のおばさん」に姿を変えた方がよかったのではないでしょうか?そのほうが白雪姫は騙されやすいと思うし、白雪姫も警戒しないと思うのですが。まあ、結果的に白雪姫はリンゴを食べてしまったので、お后様の騙すための話術が素晴らしかったのでしょう。
何の役に立つんだか
今回のコラムは、妙なコラムになってしまいましたが、実はこういうのも役に立つんです。実は、子供に「パパって何の仕事しているの?」って聞かれたときにセキュリティの仕事を子供に分かりやすく説明したり、「パスワードって何?」と質問されたときにそれを子供に分かりやすく話したりするのは、実は難しいです。そういう時に、ここに書いたようなネタで面白おかしく子供に話してあげてください。
株式会社GRCS
セキュリティ・エグゼクティブ・ディレクター
中島浩光