FacebookがPGP暗号化に対応した。シギントとヒューミント。他

ルチアーノショー寄稿ブログ

ちょうどタイムリーな話題として、Facebookがメール通知のPGP(Pretty Good Privacy)暗号化に対応した。
あらかじめ自分のFacebookアカウントにPGPの公開鍵を登録しておけば、Facebookサーバーから自分宛に届く通知メールが全てPGP暗号化される。もちろん毎回復号(decrypt)しなければ読めなくなるので一手間増えるのだが。
※ユーザー間のメッセージ機能は既にSSL暗号化されているので追加オプション的なもの。

Facebook、ユーザー宛メールのPGP暗号化をサポート
http://jp.techcrunch.com/2015/06/02/20150601facebook-now-supports-pgp-to-send-you-encrypted-emails/

すぐさま私もやってみたがとてもシンプルなフローに仕上がっている。
企業向けならともかく、コンシューマー向けのSNSサービスとしては珍しい高度なオプション機能だ。
ユーザー全員にPGP対応を強いるよりも、セキュリティ意識の高い(またはそれが求められる職種)の人向けに、こうしたオプションを提供することは良いと思う。
全会員の2%がPGP対応したとしても、それなりにFacebook側のマシンパワーが必要とされる仕様なので、見方を変えるとそれだけセキュリティオプションへの要求が強まっていることの表れだ。

これで何が防げるかと言うと、FacebookアカウントのID、パスワードは正常に運用されている(漏れていない)状態だけども、Facebookからの通知先として登録しているメールアドレスが盗み読みされる可能性のある状況下において威力を発揮する。例えばメッセージの通知をオンにしている場合、友達から届くメッセージが登録メールアドレスにも通知される(本文も含め)ため、FacebookのアカウントID及びパスワードを知らなくとも、通知メールさえ盗み読みできる状況であれば会話(メッセージ)が全て筒抜けになることを意味する。この場合、Facebook自体はSSL暗号化されていたとしても、通知メールは平文のままなので、通知先が電話やスマートフォンでなおかつ紛失してしまった場合、拾った他人にメッセージ本文を読まれてしまいかねないことなどを想定しているのだろう。

/*
盗み読みされる可能性はないと思っている人が多い。しかし実際には会社や友達のパソコン、旅先のパソコンでWEBメールにログインした際、ブラウザにIDとパスワードが残っていたとか、どこかのWi-Fiを利用した際に全てパケットキャプチャされていたなど、漏れる要素は多々あり、各アカウントのパスワードに加え、登録しているメールアドレスのパスワードも定期的に変更したい。

例えばロシア語圏の人とメールをすると、半年もすればロシア語のスパムメールが届くようになる。私はロシア語はできず日本語でやり取りしているので「標的型攻撃」ではないことが明らかで、先方から何かしら漏れているということが見て取れる。相手にヒアリングしてみると、多くの場合旅行の後などから始まっている。
*/


別に大したメッセージ送らないしという人は本人はいいのだけども、相手から重要なメッセージが届くかもしれないなら、相手に対する責任として最低限の対策はとりたいところ。
通信セキュリティとは、自分を守るためのものと、通信相手を守るための2つの要素がある。

例えば旅行などの手続きを誰かがまとめて一括で行うような時、身分証明書などのスキャンをFacebookアカウントを通じて送ってもらうような場合、自分のメールが盗み読みされると、相手の個人情報を漏らしてしまうことになる。いい迷惑だ。

昔で言えば、交換日記を交わす相手が、いつも日記を机の上に置きっ放しにしているような状態だとすれば信頼できるだろうか。親密な事柄を綴ろうと思うだろうか。
事が起きてから「ダメな友達を持ってしまった私が馬鹿だった」と相手に思わせてしまうのはあまりにも残念だ。

クラッキングというのは、直接IDとパスワードを解析することは難しいので、人的ミスを突くことが多い。
その代表例が、セキュリティ意識の弱そうな人間をターゲットにし、そこからつながる人々を辿っていく方法。ソーシャル・エンジニアリングとも言う。

「任意の2人を隔てるのは4.74人」--Facebookとミラノ大、「6次の隔たり」を調査
http://japan.cnet.com/news/society/35010973/

昔は6人と言われていたが、今では4.7人の友達で全てにつながると立証されている。

f0337316_10254099.jpg
久しぶりにシナモンスティックを入れてみた。霊感にも効くらしい(笑)。

ちょっと話は飛んで、諜報活動にはシギントsignals intelligence=対信号)とヒューミント(Human intelligence=対人間)とあり、英国で言えばGCHQはシギント、ジェームズ・ボンドのMI6はヒューミント、アメリカで言うならばNSAはシギント、CIAはヒューミントを主に管轄している。諜報活動というと大げさに聞こえるものの、フィッシング詐欺などもこれらを組み合わせて行い、情報収集の基礎と言える。前述のソーシャル・エンジニアリングもやることは同じだ。

IDとパスワードそのものをクラックするには、余程簡単な(数字だけとかメジャーな英単語など)ものでない限り難しく、英数字混合になると何兆通り以上のアタックが必要であり(全てのパターンを試すことを総当たり=ブルートフォースアタックという)、通常は3回間違えるとロックがかかるため現実的な手法ではない。
※例えば大文字・小文字を区別する英+数字のパスワードの場合、8桁で218兆通りを超える。BIG1等=6億円が4,541万回当たる感じ。

そこでお喋りさんや、セキュリティ意識の低い知人などが狙われる。直接のターゲットではないので「踏み台」と呼ばれている。
総当たりをシギントとすれば、友達の友達から辿っていくのはヒューミントだ。

1億分の1の確率でしか間違いが起きない検査でも、100回に1回起きる人為的ミス(取り違えなど)が足を引っ張り精度と評判を落とす原因となることに似ている。

蜘蛛の巣状に広がった友達ネットワークの中に1人でも穴となる存在の人物がいると、ネットワーク全体に影響を及ぼしてしまう。
それは組織や社会に迷惑をかけることにつながる。

「あの人、存在自体がセキュリティホールだよねー」(笑)なんて言われないように注意したい。

「ネットワークセキュリティ」というと専門的な響きだが、家の鍵でいえば、後から家を出る同居人に鍵を渡して自分は外出した。家に帰るとドアノブにそのまま鍵がぶら下げてあった。この同居人と信頼関係を築けるだろうかという問いの答えが指すところこそ、今まさにインターネット社会における人付き合いに問われている問題と言える。
まだ普及して10年20年だからこそ「わからない」で済まされている領域であり、実際には家の戸締まりの方法がわからないと言っていることに等しい

ISIS、位置情報つき自撮りをSNSにアップし、アメリカ軍に爆撃受ける

http://iphone-mania.jp/news-74133/

命がけの戦地でさえこのようなことが起きる。

/*
デジタルカメラやスマートフォンで撮影した写真には、撮影時間、カメラやレンズ、フラッシュの設定値、カメラのメーカーや機種名、GPS座標(対応していれば)などが記録されている(メタデータと言う)。そのままアップロードすると、メタデータも一緒についてくるので、景色や背景などに場所が特定されるようなものが写り込まないようにどれだけ気を配っても、メタデータを見れば時間と位置が特定されてしまう。
「病気だった」はずの人が(時間を空けて)リゾートの写真をアップしたとしても、メタデータを見れば“ズル休み”が確定することもある。
*/

日本に住んでいれば自分のミスでミサイルが飛んでくる程のことはなくても、米軍はサイバーアタックを戦争の一部として見なしており、電子的な(インターネットなどの)攻撃に対して、物理的な(ミサイルなどの)報復を行う考えを示している。
「SNSで写真アップするくらいだし、漏れても影響はない」という人も、自分のパソコンが踏み台にならないよう(これが攻撃に使われるので)、ネットワークにつながっている以上は一員としての責任感が問われる、より“連鎖的”(連帯的)な時代となった。そこに国境などなく、多くの踏み台は、足が付きにくい外国のパソコンが使われる。だからこそ、気がついたら自分のパソコンが見ず知らずの海の向こうの抗争に加わっていたなんてことにならないよう注意が必要だ。

ネットワーク上の“踏み台”は、例えるならば、有名人や要人、お金持ちの知り合いがいて、その人に近づきたいがために寄ってくる人に要注意といったソレみたいな感じ。
ターゲット、踏み台、犯人の3点セットは時代を超えて健在だ。

f0337316_10401225.jpg
ソ連時代から“極右”で知られているジリノフスキー下院議員も自撮り棒を愛用している。
ロシア国内では“コメディアン”として見られておりワイドショーの常連だ。なぜかそのことは西側ではあまり紹介されない。

ちょっと話は戻って。
「暗号化すれば安全」といっても現在世の中に出回っている暗号技術は「人間には絶対解けない暗号」ではなく、少なくとも最新のコンピュータの処理能力では、生きている間に解読されることはないだろうという意味合いでの「不可能」の定義で“安全”をうたっている。

一般的な暗号技術は、解読する際に素因数分解を行う。
これはコンピュータにとって最も時間のかかる計算であり、いわば「無理難題」を押しつけてその間解読を先延ばししている状態。

玄関の鍵で言えば、特定の順番に開けていけばいつかは解錠されるんだけど、鍵が100万個ついてるんだよね的な。
もちろん家主はマスターキーを持っているので1回で全て解錠される。これが暗号化・復号の際に使うパスワード(秘密鍵)。

気長に100万個解いていくのもいいが、そこまで欲しい情報なのかという点、解き終わる頃に必要な情報かという点に加え、作業中に逮捕される可能性を考えれば、社会通念上「解読は不可能」に“等しい”という考え方だ。

そこで攻撃主は、素因数分解のように複雑な処理を行い、数学的に暗号自体を解読しようと試みるのか、復号用のパスワードをスポーティーに総当たりするのか、或いはヒューミントによって007的にパスワードを聞き出すかを選択することになる。
総当たりを許す環境(パスワードを間違えてもロックされない場合)ならば、一般的には(パスワードの桁数が少ない人が多いので)暗号解読よりも速い。
パスワードを総当たり(4桁の数字なら0000〜9999までの全部を試すこと)した場合に解かれる時間は下記の通り。

英字(大文字、小文字区別有)+数字 4桁=約2分、6桁=約5日、8桁=約50日、10桁=約20万年
英字(大文字、小文字区別有)+数字+記号 4桁=約9分、6桁=約54日、8桁=約1千年、10桁=約1千万年
※独立行政法人情報処理推進機構(IPA)が2008年に行った試験
http://www.ipa.go.jp/security/txt/2008/10outline.html
※使われたコンピュータは当時の一般的なパソコンのスペックであり、もう7年前のデータなので最新機種ならば大幅に縮まっているかと思う。

ご覧の通り、パスワードに英字+数字+記号を含めましょうという根拠はここにあり、なおかつ8桁以上のものが求められるのはこういった理由から。

そして。
コンピュータの世界には18ヶ月で2倍速になるという(ムーアの)法則がある。

1年半:2倍
3年:4倍
4年半:8倍
6年:16倍
7年半:32倍
9年:64倍
10年半:128倍
12年:256倍

ということは今のコンピュータでは解読に100年かかると言われたものは、9年後のコンピュータでは1.5626年、12年後のコンピュータでは4.6875ヶ月で解読されてしまうということ。
前述の8桁の英数字(大文字・小文字区別有り)で言えば、もう7年経っているので、約50日→1.5日で解かれる可能性があり、2015年現在10桁以上のパスワードをおすすめする。

12年前=2003年の機密文書は今もなお機密だろうか。それとも賞味期限が過ぎているだろうか。
現在もまだ重要な機密であるならば、256倍速く解かれる可能性があるので、数年おきにより高いbit(高強度)の暗号技術で暗号化しなおし、なおかつパスワードもより長いものに変更する必要がある。

/*
ちなみに私は1999年以降13桁以上のパスワードを使用しており、今年に入って19桁に変更した。これが10個も20個もあるので覚えるのが日に日に大変になっている。ブランデーなんて飲んでいい気分になろうものなら忘れかねないので、リズム(ビート)や音などと組み合わせて記憶している。これからは「パスワード記憶術」(整理の方法じゃなくて)が流行るんじゃないかと思っている。
*/

コンピュータの速度が上がれば上がる程、暗号の解読(復号)速度も上がるわけだから、もし全ての処理を暗号化すると想定すると、コンピュータの速度向上相当の暗号強度が必要になるため、一生コンピューターの体感速度は変わらないことになる(笑)。※速くなった分だけより複雑な暗号化処理にマシンパワーを割くのだから。

暗号化したものは復号できなくては意味がないので、言い換えるといつかは必ず解かれるということ。

画像フォーマットで言えば、圧縮してファイルサイズを軽くした後、閲覧する際に元のデータ及び画質に戻すことができる可逆演算(PNGやTIFFなど)方式のものもあれば、劣化したまま元に戻すことはできない不可逆演算(JPEGなど)方式のものとある。

/*
音楽フォーマットで言えばMP3は不可逆演算、AIFFは可逆演算方式だ。MP3などは一般的な聴力ではほとんど聞こえないと言われている周波数帯をカットする。聴こえる人からすれば、あるべき音がなくなったことになる。
画像も音楽ファイルも、可逆演算型フォーマットで保存しておかないと、劣化したものだけが残ることになる。デジタルカメラで撮影する際、JPEGではなくTIFFやRAWで撮った方がいいというのもこのことから。
*/


ビフィズス菌を乾燥させ粉末・タブレット状にし、腸内で元に戻るというものもある意味可逆演算的な考え方だ。

f0337316_11121208.jpg
ブラックベリーは僅かに凍らせると甘みが増して美味しい。

では、暗号解読も総当たりも困難な場合はどうでるのだろうか。
ここからがヒューミントの出番であり、パスワードを直接または間接的に聞き出すというアナログな作戦だ。
銃を突きつけてということは余程のことが無い限り遭遇しないにしても、本人にハニートラップを仕掛けるのもありだし、知人などから間接的に聞き出すこともよくある手法だ。
例えば警官や銀行員を装って家族などに緊急の電話をするという手口などもこれらに含まれる。

また口の軽いお喋りさんを狙うことで、パスワードを推測する上で必要な情報が得られることも少なくない。

「秘密の質問」が突破される確率は? Googleが調査
http://headlines.yahoo.co.jp/hl?a=20150522-00000016-zdn_ep-sci

「秘密の質問」は元々は本人がパスワードを忘れた時にイチイチ問い合わせされると面倒くさいからというサービス提供者側の都合で始まった仕組みだが、セキュリティという意味合いではほとんどの場合役に立たないか、セキュリティレベルを引き下げかねない運用のされ方をしていることが多い。

母親の旧姓、初めて買った車、初めての海外旅行、ニックネーム、ペットの名前など、幼なじみやずっと地元で育った人達なら周囲の誰でも知ってるか、容易に予測が付く質問ばかりだから、運用方法を間違えるとパスワードをアタックするより簡単な侵入方法を与えているにすぎない。

この「秘密の質問」をセキュリティに貢献させようとするならば、ログインIDとパスワードを入力した後、更にこれらの質問に正しく答えた場合のみログインさせるという運用方法でなければ足しにならない。
ただし元々は「忘れた時のためのヒント」なので、利便性と安全性は相反するものだという象徴的なサンプルと言える。

というわけで漏れる要素と環境は山ほどあり、かといって1つ1つ最新の技術を学んで行くのもなかなか忙しく。
では組織において、誰にこの全責任を丸投げしようかという点について、次回チャーリーの考察をお届けしたい次第であります。

■本日のリンク
パスワードはなぜ8文字以上にするのか
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

サルにも分かるRSA暗号

http://www.maitou.gr.jp/rsa/rsa01.php
※高校生向けに書かれていてとてもわかりやすいが、どんなに進化が進んでいるとはいえ、2015年現在のには分からないと思う(笑)。

無線LAN「ただ乗り」を初摘発 パスワード解析して不正接続、容疑で男逮捕

http://www.sankei.com/affairs/news/150612/afr1506120009-n1.html
※無線LANセキュリティのことを書いてきたのでタイムリーなニュースだ。

ジェームズ・ボンドになりたい人はこの大学へ!-イギリス

http://news.livedoor.com/article/detail/9207422/
※オックスフォード大やりますな。そのうち「英国人口の2%はボンド、ジェームズ・ボンズ」的な。

「アンテナがない黒い機器」に注意 - ルータの脆弱性でメーカーが確認呼びかけ

http://www.security-next.com/058947
※該当機種をご利用の方はご一読を。

ロジテック製無線LANブロードバンドルータ(LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関する警視庁発表について
http://www.logitec.co.jp/info/2015/0602_02.html
※該当機種をご利用の方はご一読を。


Photographer&Engineer: Charlie

今回の記事は、下記の続きです。
デジタル情報時代のホスピタリティって“個室”じゃないかも。
スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。
添付ファイルとパスワードを別便で送るアレ、やめて。セキュリティ1〜5章
無線LAN(Wi-Fi)の傍受は違法なのか。
パソコンを液体窒素で固めて持っていかれた場合。オーシャンズ級。
女の子がお父さんのマックをハッキングした!〜007最新作を見る前に〜

Homepage
Facebook
Twitter
Instagram
ルチアーノショーで働くスタッフのブログ
専属カメラマン☆チャーリーの寄稿ブログ(過去ログ)
専属カメラマン★チャーリーの部屋(過去ログ)

ルチアーノショー
TEL : 03-3531-4851

by charlie-ls | 2015-06-19 13:22 | 【赤坂】ルチアーノショー寄稿ブログ

カメラマン☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31