<   2015年 06月 ( 2 )   > この月の画像一覧

ルチアーノショー寄稿ブログ

ちょうどタイムリーな話題として、Facebookがメール通知のPGP(Pretty Good Privacy)暗号化に対応した。
あらかじめ自分のFacebookアカウントにPGPの公開鍵を登録しておけば、Facebookサーバーから自分宛に届く通知メールが全てPGP暗号化される。もちろん毎回復号(decrypt)しなければ読めなくなるので一手間増えるのだが。
※ユーザー間のメッセージ機能は既にSSL暗号化されているので追加オプション的なもの。

Facebook、ユーザー宛メールのPGP暗号化をサポート
http://jp.techcrunch.com/2015/06/02/20150601facebook-now-supports-pgp-to-send-you-encrypted-emails/

すぐさま私もやってみたがとてもシンプルなフローに仕上がっている。
企業向けならともかく、コンシューマー向けのSNSサービスとしては珍しい高度なオプション機能だ。
ユーザー全員にPGP対応を強いるよりも、セキュリティ意識の高い(またはそれが求められる職種)の人向けに、こうしたオプションを提供することは良いと思う。
全会員の2%がPGP対応したとしても、それなりにFacebook側のマシンパワーが必要とされる仕様なので、見方を変えるとそれだけセキュリティオプションへの要求が強まっていることの表れだ。

これで何が防げるかと言うと、FacebookアカウントのID、パスワードは正常に運用されている(漏れていない)状態だけども、Facebookからの通知先として登録しているメールアドレスが盗み読みされる可能性のある状況下において威力を発揮する。例えばメッセージの通知をオンにしている場合、友達から届くメッセージが登録メールアドレスにも通知される(本文も含め)ため、FacebookのアカウントID及びパスワードを知らなくとも、通知メールさえ盗み読みできる状況であれば会話(メッセージ)が全て筒抜けになることを意味する。この場合、Facebook自体はSSL暗号化されていたとしても、通知メールは平文のままなので、通知先が電話やスマートフォンでなおかつ紛失してしまった場合、拾った他人にメッセージ本文を読まれてしまいかねないことなどを想定しているのだろう。

/*
盗み読みされる可能性はないと思っている人が多い。しかし実際には会社や友達のパソコン、旅先のパソコンでWEBメールにログインした際、ブラウザにIDとパスワードが残っていたとか、どこかのWi-Fiを利用した際に全てパケットキャプチャされていたなど、漏れる要素は多々あり、各アカウントのパスワードに加え、登録しているメールアドレスのパスワードも定期的に変更したい。

例えばロシア語圏の人とメールをすると、半年もすればロシア語のスパムメールが届くようになる。私はロシア語はできず日本語でやり取りしているので「標的型攻撃」ではないことが明らかで、先方から何かしら漏れているということが見て取れる。相手にヒアリングしてみると、多くの場合旅行の後などから始まっている。
*/


別に大したメッセージ送らないしという人は本人はいいのだけども、相手から重要なメッセージが届くかもしれないなら、相手に対する責任として最低限の対策はとりたいところ。
通信セキュリティとは、自分を守るためのものと、通信相手を守るための2つの要素がある。

例えば旅行などの手続きを誰かがまとめて一括で行うような時、身分証明書などのスキャンをFacebookアカウントを通じて送ってもらうような場合、自分のメールが盗み読みされると、相手の個人情報を漏らしてしまうことになる。いい迷惑だ。

昔で言えば、交換日記を交わす相手が、いつも日記を机の上に置きっ放しにしているような状態だとすれば信頼できるだろうか。親密な事柄を綴ろうと思うだろうか。
事が起きてから「ダメな友達を持ってしまった私が馬鹿だった」と相手に思わせてしまうのはあまりにも残念だ。

クラッキングというのは、直接IDとパスワードを解析することは難しいので、人的ミスを突くことが多い。
その代表例が、セキュリティ意識の弱そうな人間をターゲットにし、そこからつながる人々を辿っていく方法。ソーシャル・エンジニアリングとも言う。

「任意の2人を隔てるのは4.74人」--Facebookとミラノ大、「6次の隔たり」を調査
http://japan.cnet.com/news/society/35010973/

昔は6人と言われていたが、今では4.7人の友達で全てにつながると立証されている。

f0337316_10254099.jpg
久しぶりにシナモンスティックを入れてみた。霊感にも効くらしい(笑)。

ちょっと話は飛んで、諜報活動にはシギントsignals intelligence=対信号)とヒューミント(Human intelligence=対人間)とあり、英国で言えばGCHQはシギント、ジェームズ・ボンドのMI6はヒューミント、アメリカで言うならばNSAはシギント、CIAはヒューミントを主に管轄している。諜報活動というと大げさに聞こえるものの、フィッシング詐欺などもこれらを組み合わせて行い、情報収集の基礎と言える。前述のソーシャル・エンジニアリングもやることは同じだ。

IDとパスワードそのものをクラックするには、余程簡単な(数字だけとかメジャーな英単語など)ものでない限り難しく、英数字混合になると何兆通り以上のアタックが必要であり(全てのパターンを試すことを総当たり=ブルートフォースアタックという)、通常は3回間違えるとロックがかかるため現実的な手法ではない。
※例えば大文字・小文字を区別する英+数字のパスワードの場合、8桁で218兆通りを超える。BIG1等=6億円が4,541万回当たる感じ。

そこでお喋りさんや、セキュリティ意識の低い知人などが狙われる。直接のターゲットではないので「踏み台」と呼ばれている。
総当たりをシギントとすれば、友達の友達から辿っていくのはヒューミントだ。

1億分の1の確率でしか間違いが起きない検査でも、100回に1回起きる人為的ミス(取り違えなど)が足を引っ張り精度と評判を落とす原因となることに似ている。

蜘蛛の巣状に広がった友達ネットワークの中に1人でも穴となる存在の人物がいると、ネットワーク全体に影響を及ぼしてしまう。
それは組織や社会に迷惑をかけることにつながる。

「あの人、存在自体がセキュリティホールだよねー」(笑)なんて言われないように注意したい。

「ネットワークセキュリティ」というと専門的な響きだが、家の鍵でいえば、後から家を出る同居人に鍵を渡して自分は外出した。家に帰るとドアノブにそのまま鍵がぶら下げてあった。この同居人と信頼関係を築けるだろうかという問いの答えが指すところこそ、今まさにインターネット社会における人付き合いに問われている問題と言える。
まだ普及して10年20年だからこそ「わからない」で済まされている領域であり、実際には家の戸締まりの方法がわからないと言っていることに等しい

ISIS、位置情報つき自撮りをSNSにアップし、アメリカ軍に爆撃受ける

http://iphone-mania.jp/news-74133/

命がけの戦地でさえこのようなことが起きる。

/*
デジタルカメラやスマートフォンで撮影した写真には、撮影時間、カメラやレンズ、フラッシュの設定値、カメラのメーカーや機種名、GPS座標(対応していれば)などが記録されている(メタデータと言う)。そのままアップロードすると、メタデータも一緒についてくるので、景色や背景などに場所が特定されるようなものが写り込まないようにどれだけ気を配っても、メタデータを見れば時間と位置が特定されてしまう。
「病気だった」はずの人が(時間を空けて)リゾートの写真をアップしたとしても、メタデータを見れば“ズル休み”が確定することもある。
*/

日本に住んでいれば自分のミスでミサイルが飛んでくる程のことはなくても、米軍はサイバーアタックを戦争の一部として見なしており、電子的な(インターネットなどの)攻撃に対して、物理的な(ミサイルなどの)報復を行う考えを示している。
「SNSで写真アップするくらいだし、漏れても影響はない」という人も、自分のパソコンが踏み台にならないよう(これが攻撃に使われるので)、ネットワークにつながっている以上は一員としての責任感が問われる、より“連鎖的”(連帯的)な時代となった。そこに国境などなく、多くの踏み台は、足が付きにくい外国のパソコンが使われる。だからこそ、気がついたら自分のパソコンが見ず知らずの海の向こうの抗争に加わっていたなんてことにならないよう注意が必要だ。

ネットワーク上の“踏み台”は、例えるならば、有名人や要人、お金持ちの知り合いがいて、その人に近づきたいがために寄ってくる人に要注意といったソレみたいな感じ。
ターゲット、踏み台、犯人の3点セットは時代を超えて健在だ。

f0337316_10401225.jpg
ソ連時代から“極右”で知られているジリノフスキー下院議員も自撮り棒を愛用している。
ロシア国内では“コメディアン”として見られておりワイドショーの常連だ。なぜかそのことは西側ではあまり紹介されない。

ちょっと話は戻って。
「暗号化すれば安全」といっても現在世の中に出回っている暗号技術は「人間には絶対解けない暗号」ではなく、少なくとも最新のコンピュータの処理能力では、生きている間に解読されることはないだろうという意味合いでの「不可能」の定義で“安全”をうたっている。

一般的な暗号技術は、解読する際に素因数分解を行う。
これはコンピュータにとって最も時間のかかる計算であり、いわば「無理難題」を押しつけてその間解読を先延ばししている状態。

玄関の鍵で言えば、特定の順番に開けていけばいつかは解錠されるんだけど、鍵が100万個ついてるんだよね的な。
もちろん家主はマスターキーを持っているので1回で全て解錠される。これが暗号化・復号の際に使うパスワード(秘密鍵)。

気長に100万個解いていくのもいいが、そこまで欲しい情報なのかという点、解き終わる頃に必要な情報かという点に加え、作業中に逮捕される可能性を考えれば、社会通念上「解読は不可能」に“等しい”という考え方だ。

そこで攻撃主は、素因数分解のように複雑な処理を行い、数学的に暗号自体を解読しようと試みるのか、復号用のパスワードをスポーティーに総当たりするのか、或いはヒューミントによって007的にパスワードを聞き出すかを選択することになる。
総当たりを許す環境(パスワードを間違えてもロックされない場合)ならば、一般的には(パスワードの桁数が少ない人が多いので)暗号解読よりも速い。
パスワードを総当たり(4桁の数字なら0000〜9999までの全部を試すこと)した場合に解かれる時間は下記の通り。

英字(大文字、小文字区別有)+数字 4桁=約2分、6桁=約5日、8桁=約50日、10桁=約20万年
英字(大文字、小文字区別有)+数字+記号 4桁=約9分、6桁=約54日、8桁=約1千年、10桁=約1千万年
※独立行政法人情報処理推進機構(IPA)が2008年に行った試験
http://www.ipa.go.jp/security/txt/2008/10outline.html
※使われたコンピュータは当時の一般的なパソコンのスペックであり、もう7年前のデータなので最新機種ならば大幅に縮まっているかと思う。

ご覧の通り、パスワードに英字+数字+記号を含めましょうという根拠はここにあり、なおかつ8桁以上のものが求められるのはこういった理由から。

そして。
コンピュータの世界には18ヶ月で2倍速になるという(ムーアの)法則がある。

1年半:2倍
3年:4倍
4年半:8倍
6年:16倍
7年半:32倍
9年:64倍
10年半:128倍
12年:256倍

ということは今のコンピュータでは解読に100年かかると言われたものは、9年後のコンピュータでは1.5626年、12年後のコンピュータでは4.6875ヶ月で解読されてしまうということ。
前述の8桁の英数字(大文字・小文字区別有り)で言えば、もう7年経っているので、約50日→1.5日で解かれる可能性があり、2015年現在10桁以上のパスワードをおすすめする。

12年前=2003年の機密文書は今もなお機密だろうか。それとも賞味期限が過ぎているだろうか。
現在もまだ重要な機密であるならば、256倍速く解かれる可能性があるので、数年おきにより高いbit(高強度)の暗号技術で暗号化しなおし、なおかつパスワードもより長いものに変更する必要がある。

/*
ちなみに私は1999年以降13桁以上のパスワードを使用しており、今年に入って19桁に変更した。これが10個も20個もあるので覚えるのが日に日に大変になっている。ブランデーなんて飲んでいい気分になろうものなら忘れかねないので、リズム(ビート)や音などと組み合わせて記憶している。これからは「パスワード記憶術」(整理の方法じゃなくて)が流行るんじゃないかと思っている。
*/

コンピュータの速度が上がれば上がる程、暗号の解読(復号)速度も上がるわけだから、もし全ての処理を暗号化すると想定すると、コンピュータの速度向上相当の暗号強度が必要になるため、一生コンピューターの体感速度は変わらないことになる(笑)。※速くなった分だけより複雑な暗号化処理にマシンパワーを割くのだから。

暗号化したものは復号できなくては意味がないので、言い換えるといつかは必ず解かれるということ。

画像フォーマットで言えば、圧縮してファイルサイズを軽くした後、閲覧する際に元のデータ及び画質に戻すことができる可逆演算(PNGやTIFFなど)方式のものもあれば、劣化したまま元に戻すことはできない不可逆演算(JPEGなど)方式のものとある。

/*
音楽フォーマットで言えばMP3は不可逆演算、AIFFは可逆演算方式だ。MP3などは一般的な聴力ではほとんど聞こえないと言われている周波数帯をカットする。聴こえる人からすれば、あるべき音がなくなったことになる。
画像も音楽ファイルも、可逆演算型フォーマットで保存しておかないと、劣化したものだけが残ることになる。デジタルカメラで撮影する際、JPEGではなくTIFFやRAWで撮った方がいいというのもこのことから。
*/


ビフィズス菌を乾燥させ粉末・タブレット状にし、腸内で元に戻るというものもある意味可逆演算的な考え方だ。

f0337316_11121208.jpg
ブラックベリーは僅かに凍らせると甘みが増して美味しい。

では、暗号解読も総当たりも困難な場合はどうでるのだろうか。
ここからがヒューミントの出番であり、パスワードを直接または間接的に聞き出すというアナログな作戦だ。
銃を突きつけてということは余程のことが無い限り遭遇しないにしても、本人にハニートラップを仕掛けるのもありだし、知人などから間接的に聞き出すこともよくある手法だ。
例えば警官や銀行員を装って家族などに緊急の電話をするという手口などもこれらに含まれる。

また口の軽いお喋りさんを狙うことで、パスワードを推測する上で必要な情報が得られることも少なくない。

「秘密の質問」が突破される確率は? Googleが調査
http://headlines.yahoo.co.jp/hl?a=20150522-00000016-zdn_ep-sci

「秘密の質問」は元々は本人がパスワードを忘れた時にイチイチ問い合わせされると面倒くさいからというサービス提供者側の都合で始まった仕組みだが、セキュリティという意味合いではほとんどの場合役に立たないか、セキュリティレベルを引き下げかねない運用のされ方をしていることが多い。

母親の旧姓、初めて買った車、初めての海外旅行、ニックネーム、ペットの名前など、幼なじみやずっと地元で育った人達なら周囲の誰でも知ってるか、容易に予測が付く質問ばかりだから、運用方法を間違えるとパスワードをアタックするより簡単な侵入方法を与えているにすぎない。

この「秘密の質問」をセキュリティに貢献させようとするならば、ログインIDとパスワードを入力した後、更にこれらの質問に正しく答えた場合のみログインさせるという運用方法でなければ足しにならない。
ただし元々は「忘れた時のためのヒント」なので、利便性と安全性は相反するものだという象徴的なサンプルと言える。

というわけで漏れる要素と環境は山ほどあり、かといって1つ1つ最新の技術を学んで行くのもなかなか忙しく。
では組織において、誰にこの全責任を丸投げしようかという点について、次回チャーリーの考察をお届けしたい次第であります。

■本日のリンク
パスワードはなぜ8文字以上にするのか
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

サルにも分かるRSA暗号

http://www.maitou.gr.jp/rsa/rsa01.php
※高校生向けに書かれていてとてもわかりやすいが、どんなに進化が進んでいるとはいえ、2015年現在のには分からないと思う(笑)。

無線LAN「ただ乗り」を初摘発 パスワード解析して不正接続、容疑で男逮捕

http://www.sankei.com/affairs/news/150612/afr1506120009-n1.html
※無線LANセキュリティのことを書いてきたのでタイムリーなニュースだ。

ジェームズ・ボンドになりたい人はこの大学へ!-イギリス

http://news.livedoor.com/article/detail/9207422/
※オックスフォード大やりますな。そのうち「英国人口の2%はボンド、ジェームズ・ボンズ」的な。

「アンテナがない黒い機器」に注意 - ルータの脆弱性でメーカーが確認呼びかけ

http://www.security-next.com/058947
※該当機種をご利用の方はご一読を。

ロジテック製無線LANブロードバンドルータ(LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関する警視庁発表について
http://www.logitec.co.jp/info/2015/0602_02.html
※該当機種をご利用の方はご一読を。


Photographer&Engineer: Charlie

今回の記事は、下記の続きです。
デジタル情報時代のホスピタリティって“個室”じゃないかも。
スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。
添付ファイルとパスワードを別便で送るアレ、やめて。セキュリティ1〜5章
無線LAN(Wi-Fi)の傍受は違法なのか。
パソコンを液体窒素で固めて持っていかれた場合。オーシャンズ級。
女の子がお父さんのマックをハッキングした!〜007最新作を見る前に〜

Homepage
Facebook
Twitter
Instagram
ルチアーノショーで働くスタッフのブログ
専属カメラマン☆チャーリーの寄稿ブログ(過去ログ)
専属カメラマン★チャーリーの部屋(過去ログ)

ルチアーノショー
TEL : 03-3531-4851

by charlie-ls | 2015-06-19 13:22 | 【赤坂】ルチアーノショー寄稿ブログ | Comments(0)
ルチアーノショー寄稿ブログ

今年11月06日、ついに007最新作「Spectre」が公開される。
ローマでジャガーとアストン・マーティンが派手なカーチェイスを行うこと以外知らないが、最新のボンドが公開される前に、少しばかり暗号学と最近の諜報部の傾向についてみておきたい。そうすれば何倍もボンドが楽しくなるから(多分)。

2000年頃までだろうか。
「数学なんて、学校出てから一度も使ってないし」と、数学不要論をよく見聞きした。
しかし今では優秀な数学者は職に困らないし、アメリカやイギリスにおいては政府(*a)によって十分な報酬と役職が保証されるケースも少なくない。

/*
*a:アメリカならNSAやCIA、イギリスならボンドで有名なMI6、GCHQなどだ。
資金潤沢なアメリカ諜報部においては内勤(諜報・工作員でなく)でも年収1,800万円超はザラで、日本で言えば民間企業大手の役職者に匹敵する。ハーバード大出身が多く見られる。
*/

なぜだろうか。
多くの要因のうちの1つは、暗号を解くためにその頭脳が必要だから。
そして、より解読困難な暗号を創り出すためにその頭脳が必要だから。

またそれが解かれる日がいつ訪れるのかを予測するために必要だから。

この10年、子供を持つ奥さんたちから「時代の流れが早すぎて子供に何をさせたらいいのかわからない」と悩みを聞く度、私は暗号理論(暗号学)をすすめている。
暗号学には多くの数学的計算(そして社会的・心理的な要素の分析)を必要とするため、多角的で総合的な能力が身につくという理由から。

/*
どんなに計算ができても、適性検査に通らなくては重要な職には就けないので、人間性と総合力は極めて重要だ。だから最近は「競争」させて打ち勝つことを覚えさせるよりも、どれだけ幅広くたくさんのことを楽しく学ばせるかの方が重要になってきている。幼少期・思春期にトラウマやコンプレックスなど心の傷が生じると、大人になって境遇の似たような人や案件に対し冷静な判断が下せなくなってしまうから。潜在意識に強く刻まれたショックは、時としてアレルギー反応さえも起こしてしまい、発作的に拒絶・凶暴性を見せることも少なくなく、国の機関など忠誠が問われる立場において、回避すべきだが予測困難な問題と化している。

googleの20%ルールしかり、流れ作業や小手先の戦略は一瞬で他社に分析されてしまうため、「勝てるか、売れるか」はもはや重要ではなく、自分が何をやりたいかという時代だ。夢中で研究したものには心がこもっていて、結果として人々に受け入れられる。もし組織の中に、与えられた20%の自由時間をただサボってしまうような人がいると感じるならば、そもそもその人は会社に貢献する可能性もないと印象付けられているということ。周囲からそんな目で見られている時点で出世の可能性もないだろうし、適性検査の時点でgoogleには入れないはずだ。

一方で総合職や「重役」への道はあまり開かれていないようだが、政府がハッカー(逮捕者)やゲーマーを雇い入れるという流れも時代の象徴だ。こういったタイプの人たちは集団に馴染めないケースが多い(失礼!)が、熱中すれば1日でも2日でも集中力が途切れないので、管理職が適切な課題さえ投げれば、誰よりも確実に結果を出してくれる。自分の好きなことに集中することで正義を果たせるのならば本望だろうし、自分のプライドをかけて仕事をするので残業代を請求しないということから(笑)、そのコストパフォーマンスの高さに日に日に需要が高まっている。
※実際にはもっと複雑なプロファイリングがあり、「オタク」な人たちは他のことに対する物欲や見栄がなく、外で派手な振る舞いをしない分、浪費と外部との接触が少ないため、機密が守られやすいという利点がある。オタクが再評価されているのだ。
*/

それに「暗号」ごっこは、ちびっ子が好きそうだし、遊び感覚で興味を持たせることができ、親の都合で毎日計算ドリルをさせるよりもいい結果が期待できる。
お父さんの日曜大工は「秘密基地」造りだ。そこに多少の食料(すなわちお菓子)があればご機嫌だ。
※ただしパソコンの半径1メートル以内に飲み物(水分)を持ち込んじゃいけないことは英才教育すべき!

私は数学が(も)全くダメなので、かれこれ17年程前に暗号学に興味を持たなかったら、今頃初歩的な確率の計算さえできなかったと思う。
と言いつつ未だに分数計算さえまともにできないが、コンピュータの世界では分数が出てこないので助かっている。

/*
分数計算ができない学生が増えているそう。コンピュータ社会になり、それはいっそう加速すると思われる。
私は分数とは表現方法に過ぎないと思っている。分数▲/●自体は●に対して▲が占める割合を示しているだけで、実際には何も計算されていない「式」のままだ。
3/4と書いてあっても、3を4で割ってねという意味でしかなく、3/4と8/11を見せられても、少なくとも私にはすぐにどちらが大きいかわからない。0.75と0.72727と書いてあれば一目瞭然だ。
前後の文脈がないと3月4日、8月11日かもしれないので紛らわしく、パソコンでは分数が表示しづらいこともあって、プログラミングの世界に分数は出てこない。
惑星探査機「はやぶさ」のπは小数点15桁を使用しており(いわゆるDouble型ですな)、こうした精密計算を行うプログラマーは、必要に応じて明示的な桁揃え(ゼロ埋めなど)を行う。例えば、1.250000000000000や、0.333333333333333など。共同作業時に、特に仕様を引き継ぎがなくてもコードを見れば小数点15桁の精度を基本としていることが一目瞭然であり、プログラマーの人種を問わず適切に要点が伝わり間違いが起きない利点がある。※ただ単に「0.142」と書いてあると四捨五入されたのか表示スペース的に切り捨てられただけなのかがわからない。
いずれはプログラミングが義務教育に入ってくるだろうことを考えると、今後は日常生活において分数を見かけることは減っていくのではないかと想う。
*/

f0337316_14325882.jpg
今日バルコニーで食べたおやつ。ベリー類はほんの少し凍らせると甘みが立つ。コールド・ブート攻撃に対応している(笑)。


そして彼女はハックする。 〜新しい時代の幕開け〜

Kids hack their Dad's computer on her Raspberry Pi
https://www.youtube.com/watch?v=W76o_iG7Y7g


英語を話すこの愛らしい彼女は、(お母さんの許可を得て)お父さんのマックをハッキングしてしまった。

私はちびっ子の英語も聞き取れないので、彼女が打ち込んだコマンドをもとに解説したい。

動画1分15秒
$ ssh alex@192.168.1.27
SSHというセキュアなリモート通信プロトコルを利用して、192.168.1.27というローカルIPアドレスに接続されたお父さんのパソコンに対し(家庭内LAN環境だ)、隣の部屋の彼女の“秘密基地”から侵入して(いるかのように)見せた。
※alexはお父さんのアカウントなので、予めパスワードを知っている様子(笑)。可愛い笑顔で聞き出せば、ハニートラップよりも強力だ。

動画2分45秒
$ who
彼女はwhoコマンドを打ち、誰がこのパソコンの中で活動しているかを調べた。“alex”の名を確認しほくそ笑む彼女。

動画3分16秒
$ top
彼女はtopコマンドを打ち、起動中のプロセス(実行中の処理に割り振られた識別番号)を確認した。

動画4分5秒
彼女はハッキングするターゲットを決めた。プロセスIDは95251(Sublime Text)だ。彼女はプロセスIDをメモると腕まくりをし弟子(兄弟)を呼んだ。

動画4分50秒
$ say -v serena dad watch out
彼女はお父さんに最後通告を送った。リモートから、お父さんのiMacが「セレーナ」の声で“dad watch out”を読み上げるよう操作したのだ。マック特有のコマンドだ。

動画5:10秒
$ kiil -9 95251
彼女はkillコマンドを打ち、何とお父さんの作業中の「Sublime Text」を強制終了させてしまった!弟子(弟)はその映像を捉えると一目散にその場を立ち去った。まるで諜報員かのように。

ここは大人向けのブログだからちびっ子達には内緒にするとして(サンタクロースのように)、実際には彼女はハッキングしたわけではなくて、コマンドシェル(UNIX上で行う文字列による実行命令)の操作を学び、ハッキング風デモンストレーションを覚えたという学習成果の発表だ。
何とも可愛らしいじゃないか。10年後には(スリムなままでいてほしいが)ペネロープ・ガルシア並みになっていることだろう。

イメージとしては「IDとパスワードでパソコンにログインし、開いているアプリケーションを強制終了した」という一連の流れをリモートから行ってみせた感じ。
凄いぞエリザベス、やったなエリザベス! ※エリザベスかどうかは知らないが(笑)。

f0337316_20314196.png
私のパソコンでtopコマンドを打った様子。

/*
女の子が使っているコンピュータは「Raspberry Pi」(ラズベリー・パイ)という英国のコンピュータ学習用のシングルボードコンピュータだ。
日本で言うと「学研」とかに出してほしいカテゴリの商品。

私は「Rhapsodyπ」(ラプソディ=狂詩曲・π)だと思っていた(笑)。お馴染みのロンドン3丁目の女性と話すまでは。
私「ラプソディ・πっておもしろいね」
3丁目狂ったπって芸術的ね。BGMはパガニーニで!」
私「英国は進んでるね」
3丁目「どうして?」
私「ちびっ子にラプソディπだもん」
〜少し間が空いて〜
3丁目「もしかしてラズベリー・パイのこと?」
〜googleに入れてみる私〜
私「あ、それそれ。ラプソディかと思った(笑)」
3丁目「ちびっ子に狂ったπはだめよ!」
オックスフォード大を出た彼女は20分ほど笑い続けた。それもバッテリーが切れたから笑い声が聞こえなくなっただけだ。

ちなみに「パイ」は「π」でもなければ「Pie」(お菓子)でもなく、プログラミング言語のPython」(パイソン)から来ているらしい。
モンティ・パイソンと言い、イギリス人はパイソン好きだ(笑)。
どおりでラズベリーパイの標準言語がパイソンなはずだ。
極めてシンプルな言語で、C、Java、PHP、Perlなどを習得している人なら数時間で使いこなすことができる。前回の記事でご紹介したMacOSのセキュリティホール「Rootpipe」の検証コードもパイソンで書かれている。拡張子は「.py」
10年以上も前の話だが、ある大学の研究室に、パイソンで書いたタイソン(Tyson.py)というコードを提供したことがある。
振り返ってみると今更ながらちょっと恥ずかしい(笑)。

Pythonが大学の入門用プログラミング言語として人気を集めていると判明
http://gigazine.net/news/20140715-python-most-popular-language/

パイソン、わかりやすいしインタプリタ型言語は手軽でいいと思う。
どの言語が優れているかではなく、今向き合っている用途にどの言語が向いているかなので、入り口はできるだけわかりやすい方がいい。
どうしても優劣をつけたい場合は、こうして綱引きが行われる(笑)。

決めようぜ最高のプログラム言語を綱引きで
http://portal.nifty.com/kiji/150203192687_1.htm
*/

いずれは「Hack you!」が放送禁止用語になるんじゃなかろうか。

こうして刻一刻と「次の時代」の幕開けが迫っているわけだが、先陣を切った今をときめくハッカー達はこんな活躍をしている。

空港の保安体制をハッカー目線で見たら浮き彫りになってきた数々の問題点とは
http://gigazine.net/news/20140826-airport-security/

もうそろそろハッカーをアンダーグラウンド扱いせずに、ちゃんとした専門家として見なした方がいい。高額納税者達の懐に感謝しつつ、そのうちハッカー達が「安心」を与えてくれていることを学ぶ時代が来るだろう。

いや、十分に考えられる。
企業の会計には監査法人が就き、税務には税理士・会計士が就き、法務には弁護士が就き、特許申請には弁理士が就き、ビザの申請には行政書士が就き、会社設立には司法書士が就き、機密保全監査役みたいな立場でハッカーが就く。
Wi-Fiのセキュリティのように、暗号化すれば解読できないと思っている企業が多分98%を占めるので(事前共有鍵の問題)、そのうち産業スパイ天国の日本に政府がメスを入れ、ある日突然今まで見向きもされなかったオタッキーなビジュアルのヤング(笑)が訪れたかと思えば、上司の「上」の立場で現場に指示を出しているシーンを目の当たりにすることだろう。
決して彼・彼女らはブリオーニのスーツでもなければシャネルツイードで登場するわけでもなく、香水を身にまとうこともない(多分)

※便宜的にハッカーと表現しているだけで、実際にはエンジニアとかもう少しポピュラーな呼び名が付けられるだろうと思う。

f0337316_14325732.jpg
ブログ用の写真を撮るためにラズベリーを食べることにした(笑)。

言わずと知れたジェームズ・ボンドはイギリスの諜報機関MI6(現SIS)に所属しているが(実在する組織で外務省管轄だ)、実際には走り回って格闘して諜報活動を行うのは戦地などに限られ、映画スカイフォールで言うならば「Q」の仕事ぶりの方が実務に近い。
※戦争のように予算や容赦なくミサイルを撃ち込んでいいかどうかという点を考慮しなければ、日常の「敵」は昔ながらの独裁者よりも、実態・指揮系統のつかめないハッカー集団に移り変わろうとしている(最終的に後ろにいるのは各国家なのだが)。そして彼らは一カ所にとどまらず、人種や言葉の壁を越えて世界中に散らばっている。

もちろん今もなお、スパイグッズを造る工学系の部門、数カ国語を自由自在にこなす情報解析部門も重要な位置づけだが、何よりも先に暗号解読から始まる。
第二次世界大戦中も通信(連絡)系は暗号化され、ナチスのエニグマ(暗号)が英国諜報部によって解読されていなければ、大戦は更に長引いていただろうと言われている。

現在は当時と比べものにならないほど、ほとんどの通信が暗号化されているため(ネットスーパーまでSSL化されている)、まずは暗号を解読しなければ何も始まらない。有益な情報なのかゴミなのかさえ判断できない。英国で言えばGCHQという暗号解読専門の組織があり、まずは解析が行われる。
どんなに工作員たちが健康で走るのが速くて強靱な肉体を持っていたとしても、はたまたオックスフォード大を出てなおかつ絶世の美貌で8カ国語を使いこなしルブタンのハイヒールが狂おしい程に似合おうとも023.gif、元となる情報が暗号化されていては、ボンド(やボンドガール)はどこに向かって走るべきかもわからないし、何語で書いてあるのかもわからない。

MI6はワイドショーネタのスキャンダルを追っているわけではないので、平文(暗号化されていない)で手に入った情報などほとんど意味がないに等しい。護衛のないダイヤモンドの輸送とでも例えようか。
言い換えると、手に入れた情報はほぼ100%暗号化されている。

よって暗号解析は現代最高の花形職と言える。
※信用できる人間性でなければ最も危険でもある領域なので、適性検査に通る大人に育てなければならないという点は冒頭の通り。※ある日突然何かに触れた瞬間に寝返ったりというのが一番怖い。

/*
計算の整合性の検証は複数の科学者とコンピュータによって行われ、多くの場合問題はなく、数学的な理論はほぼ完成されていると言われている。
問題が生じるのは全体の設計、実装、操作、人為的ミスなので、組織全体の知的レベルが高くなくてはならない。
そして「方向性」だ。見えていないものは探しもしなければ計算もしないので、より多角的な考察のできる物理学者(量子論)の人気も高い。彼らはスピリチュアルな世界ですら否定しない。
*/

国家の諜報部と言うと、ドラマや映画では米CIAが花形だが、英GCHQ裏方の花形であり世界の中心だ。
シギントを専門とするこの組織はMI6やMI5と連携し、私の中では人類最強部隊と勝手に位置づけている。

彼ら(追う方も追われる方も)は個人間の接触におけるメールのやりとりも暗号化する。
暗号化の手段は様々。メールやファイルを暗号化するには世界中でPGP(Pretty Good Privacy)が愛用されている。
※ソースコードが全公開されているオープンソース版「OpenPGP」があるため、旧ソ連圏など東諸国でも使われている
端末から端末まで暗号化されるので、途中の通信経路がどんなにお粗末でも漏れることはない

/*
暗号化は「匿名化」とは全く性質が異なり「Tor」は容易に傍受されることで知られているが、日本はともかくロシア大使館も暗号化せずに使っていたというのが意外だ。
例えばクルージング中、太平洋のど真ん中でラブレターを落としたとしても、拾われる頃にはどこの誰のものかはわからない。これは匿名性であり、暗号化ではないので(濡れて破れてなければ)読むことはできる。よって多くの場合、ファイルの暗号化、通信経路の暗号化、発信場所の匿名化の3段階を踏む。
*/

私のように英語ができない人間が英語圏の人と取引をする場合、優秀な通訳・翻訳者がいなければ先に進まない。
それ同じく、暗号が解ける人がいないと仕事にならない時代が(一部の組織には)訪れた。
※といっても暗号を解くことは業務上現実的な時間では難しく解くよりも解く鍵を追うのが諜報・工作員の仕事だ。

今回予定していた「暗号は解けないのではなく、解くのに時間がかかるだけ」の記事は、次回へと繰り越されたので「解くよりも解く鍵」については次回お届けしたい。

英国諜報機関謹製、たのしい「暗号化技術学習アプリ」が無料公開中
http://wired.jp/2014/12/15/gchq-cryptoy-android-app/

もうスカウトするよりネイティブを育てようとしているGCHQ
「Cryptoy」(Crypt+Toy )と名付けられたこのアプリでは、ジュリアス・シーザーが使った言われる「シーザー暗号」からナチス・ドイツの「エニグマ」などを学ぶことができる。

生めなくとも育ての親になろうという戦略かGCHQ

子供のメールや日記、手紙を盗み読みしているお父さん、お母さんはもう諦めた方がいい(!)。
これからのちびっ子の通信は全て暗号化され、もし盗み見られてるかもしれないと思えば、暗号強度を上げる一方で壁が分厚くなっていくだけだ。
盗み読むことで子供の動向を知るよりも、こういう時代だからこそもっと感じとってあげられる大人になりたい。

そのうち義務教育にプログラミングと暗号学が組み込まれ、長い目で見ればいずれは飽和するだろう職かもしれないが、それだけ“当たり前”になった時には更なる専門職が必要とされるので、早い段階からの基礎レベルの底上げはとても重要なことだと思う。

携帯電話がなかった時代から比べると、今では信じがたい程の事柄が“当たり前”になっているし、それはわずか20年の間に起きた。
「インターネット」も同じだ。1995年、初めてインターネットに接続した当時、まだYahoo!さえなく、英語版のNTTのホームページをボーッと眺めたものだ。それでも新しい時代の到来にワクワクしたのを覚えている。

GCHQの話に戻って、私は思う。
こういう先を見越した指針を示してくれる政府は、結果として強い国を育むのだなと。
グレートブリテングレートであり続ける1つのピースを見たように感じる。

f0337316_19514566.jpg
言うならばこれこそ霜降りだ。

一方で。

日本の若者のコンピューター能力、先進国の中で最低レベル
http://headlines.yahoo.co.jp/hl?a=20150531-00000001-xinhua-cn&pos=3

これまた意外だった。
パソコンの普及率やインフラは極めて高水準(というより世界一だろう)である日本だが、漠然と社会基盤だけが整備され、で?みたいな状態に陥っているのではなかろうか。
私の個人的な見解では、スマートフォンを売り出す際、あたかもパソコンの代わりになる(これ一台で全部できる)的な見せ方をしたのがまずかった気がする。
リーマンショック(2008年)頃と比べても、明らかにパソコンを持っていない20代が増えているし、パソコンを持っていた人さえも壊れたことをきっかけに、スマートフォンで済ませようとする様子も多々見られる。そしてWEBサーバーのアクセスログは、日に日にスマートフォンが占領していっている。
※海外からのアクセスはほとんどがパソコンからだ。

スマートフォン。便利なんだけど全体で見るとどこか後退した印象。

この先、日本がまた農業国になっていくならばあまり重要ではないのだけども、これだけWi-Fiや光ファイバーケーブルが張り巡らされた今となっては放置するわけにもいかず。大手プロバイダSo-netにおいては、一般家庭向けでは世界最速の2Gbps回線「Nuro」などもリリースしており、一層パソコン社会になるのだろうと思いつつスマートフォン優勢な感じで、どこかすっきりしない日本のインターネットの行方。

このモヤモヤっとした気持ちをもし何かに例えるなら、レインボーブリッジ歩いて渡ろうとして途中で疲れた時、ちょうど橋の真ん中だったらどうしようという心境に近い感じ(笑)。

これから日本はどちらに舵を取っていくのだろうかと「ラプソディ(狂詩曲)π」で英国民(それも元美容諜報部員037.gif)に笑われた私は思ふ(笑)。

というわけで次回は「燃えよルブタン」じゃなくて、「暗号は解けないのではなく、解くのに時間がかかるだけ」をお届けしたく、雨の降る渚のバルコニーでエスプレッソを傾けるチャーリーであります。

Photographer&Engineer: Charlie

この記事は、微妙に下記の続きです。
デジタル情報時代のホスピタリティって“個室”じゃないかも。
スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。
添付ファイルとパスワードを別便で送るアレ、やめて。セキュリティ1〜5章
無線LAN(Wi-Fi)の傍受は違法なのか。
パソコンを液体窒素で固めて持っていかれた場合。オーシャンズ級。

Homepage
Facebook
Twitter
Instagram
ルチアーノショーで働くスタッフのブログ
専属カメラマン☆チャーリーの寄稿ブログ(過去ログ)
専属カメラマン★チャーリーの部屋(過去ログ)

ルチアーノショー
TEL : 03-3531-4851

by charlie-ls | 2015-06-05 20:25 | 【赤坂】ルチアーノショー寄稿ブログ | Comments(0)

カメラマン☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30