第一回プラチナブロガーコンテスト


まずは昨日のタンブラーの投稿から。


イギリスからはるばるアメリカNational Security Agencyのパズルが回ってきた(笑)。今開催中(?)のものなのでシェア。

NSA CRYPTO CHALLENGE Puzzle of the week
https://www.facebook.com/NSACareers/app/1541913382708799/

Tips:
Look for single-letter words, double letters within words, and apostrophes.
Look for common words (e.g., the, an, that).
The more you play, the more certain trends will become apparent.

f0337316_16535700.png

NSAのヒントの通り。1文字のものや、同じ文字が重なる単語などに注目する。

初歩的な換字式暗号なので、シギントデビューしたい人にオススメ。答えはNSAに代わって(笑)私が明日ココに掲載。

※Puzzle not accessible from mobile devices.と書いてある。


 ココから下は答えと解き方なので、まずは自分でパズルに挑戦したいという人はご注意を。

f0337316_16525891.png

 答え:THE JOINT NSA-DIA PROJECT COINS GAVE INTELLIGENCE CUSTOMERS DIRECT ACCESS TO ELECTRONIC SIGINT - A FIRST STEP TOWARD A COMPREHENSIVE INFORMATION SHARING NETWORK.

 解説:R=T、N=Jといった具合に、1対1で置換されている。エニグマのように連続する「AA」が(例えば)「QC」とか(ローター式)になったりはしないので、基本的な換字式暗号だ。

 解き方。

 多分英語だろうと考えると、文章の書き始めの最初の3文字(「RUL」の部分)と言えば「the」とかそういう単語だと推測するところから始まる。

 「O」が2箇所単体で出てくるので、英文的に「a」だろうことは想像に難くない。

 そして2行目の「OMMLHH」のように2,3文字目が同じ文字、5,6文字目が同じ文字という特徴的な文字列を考える。例えば「voodoo」は近いが、原文の「MM」と「HH」は異なる文字が変換されているはずだから違うと考える。「access」が合致する。

 そうして当てはめていくといつかは解けるようになっているんだが、時間もかかるしこういう時代だしということで、プログラマーなら正規表現で辞書検索する(正規表現が使える辞書サイトのサンプル)。

 正規表現とは、「アルファベット6文字で、最初がaで4文字目がeで最後がsの単語」のように、一部分や文字数しかわからない場合に、文字列を「規則性」で表現するために用いられる。こういった探し方を「パターンマッチ検索」と言う。

 ※正規表現はPHPとかJavaとか言語が異なってもほぼ同じなので、一度覚えたら使い回しができるから積極的に向き合うことをオススメする。

 「6文字の英数字」を正規表現で書き表すと、

^\w\w\w\w\w\w$

など(方法は1つじゃない)がある。
 「\w」は小文字・大文字を問わない英数字(「_」を含む)1文字を表し、先頭の「^」は文字列の始まり、最後の「$」は文字列の終わりを指す。

 これだと6文字の英単語が全て該当するので、

^\w(.)\1\w(.)\2$

とする。「(.)」は「ある任意かつ特定の1文字」という意味で(後方参照、「キャプチャ」「サブパターン」を参照)、「\1」はいくつでも使え、左から順番に指定できる。この場合2回「(.)」を使っているから、「\1」は1回目の該当文字「M」、「\2」は2回目の該当文字「H」となり、「OMMLHH」のパターンにマッチする。

 文字数の多い単語はより特定しやすいので、2行目の「JKRLPPJBLKML」に目を向ける。12文字だから、

^\w\w\w\w\w\w\w\w\w\w\w\w$

であり、1文字目と7文字目が同じ、2文字目と10文字目が同じ、5文字目と6文字目が同じ、4,9,12文字目が同じだから(極めて特徴的な文字列だ)、

^(.)(.)\w(.)(.)\4\1\w\3\2\w\3$

後方参照を使い表してみる。
 該当する英単語は「intelligence」であり「諜報」を意味する。

^(\w)(\w)\w(\w)(\w)\4\1\w\3\2\w\3$

と書いてもイイ。「.」は「ある任意の1文字」だから記号なども当てはまるので、「\w」とすれば「英数字」1文字と指定できる。

^([a-z])([a-z])[a-z]([a-z])([a-z])\4\1[a-z]\3\2[a-z]\3$

でもイイ。「[a-z]」はアルファベット小文字の1文字を意味するので「\w」よりももっと絞り込める。「[A-Z]」なら大文字。検索対象の辞書がどちらかわからない場合は「[a-zA-Z]」(小文字・大文字両方)と指定する。

 正規表現にはいろんな表現技法があるため、何が正解というよりも、見てわかりやすい方がイイ。

^\w{6}$

とすれば「英数字6文字」という意味になる(「{6}」は6回繰り返し)が、今は「何でもいいから6文字の英数字」を探しているわけではないので、目的に対し順を追って説明する際に適した表現を選びたい。

 最初と最後の「^」「$」がある・なしの違い。

^abcdefg$

とした場合、「abcdefg」そのものに該当するが、

abcdefg

とだけ指定すると、「xyzabcdefghij」のように「abcdefg」が“含まれる”文字列も該当する。パズルのように文字数が予めわかっている場合は、最初と最後を明示した方が余計な文字列がヒットせずにより絞り込める。

 私はどうやって解いたかというと、最初に「JKRLPPJBLKML」から手を付けた。「OMMLHH」から解こうと思い正規表現が使える辞書サイトを探している最中に、ふと、

JKRLPPJBLKML
123455164274

と数字に置き換えてgoogle検索したところ、1件だけ該当した(笑)。世界は広い。同じ概念の人がいて、英語の辞書を数字に置き換えてアップロードしているサイトだった。クリプト(暗号)クラック系のよう。早い話レインボーアタックの下準備サイトみたいなものだが(笑)、googleでたった1件、しかも該当が「intelligence」の1単語のみというのが何とも素敵すぎる。

 その場の思いつきだが、基本は正規表現と同じ考え方で、♪をドレミファと読むように符号化してみた。「123455164274」を見れば、5,6番目が同じ文字だとか、7種類の文字を使い全部で12文字ということがわかる。サイトの主は私と同じ音系かもしれない。

 クロスワードと同じく、長い文字列が解けると一気に埋まるので、他が楽になる。

 というわけで、これが解けてもNSAにもCIAにも全くお呼びでないレベルだが、暗号解読の基礎としてとても良いクイズだと思う。正規表現の使い所としても楽しいのでプログラミング学習教材にも使える。

 そんなわけでクリスマスイブは暗号解読で2人の距離を縮めましょう023.gif
 メリークリプトス!024.gif069.gif

チャーリー(
JAPAN MENSA会員

AEAJアロマテラピー検定1級
AEAJ認定アロマテラピーアドバイザー
AEAJ認定環境カオリスタ
AEAJ認定アロマテラピーインストラクター
AEAJ認定アロマブレンドデザイナー
AEAJ個人正会員
JAMHAメディカルハーブ検定1級
JAMHA認定メディカルハーブコーディネーター
JAMHAハーバルセラピスト試験合格
ITパスポート試験合格(笑)。
情報セキュリティマネジメント試験合格
臭気判定士試験合格

チャーリーのタンブラー(毎日更新、日記・ブックマーク的な)


by charlie-ls | 2016-12-24 17:09 | 個人ブログ | Comments(0)
今回のテーマはこちら。

FBIが勝手にテロ容疑者のiPhoneのパスワードを変更、データが読み取れなくなった恐れ
http://gigazine.net/news/20160222-fbi-incorrectly-changed-icloud/

自分(FBI)が失敗しておいて、アップルにバックドアの用意を迫ったのならば、その事実(ミス)を公表した上で、正式に協力依頼をすべきだし、問題を覆い隠していると、そのうち責任の押し付け合いになる。

/*
翻訳記事では
iPhoneのパスワード」「端末パスワード」(=iPhoneのパスコード)と書いてあるが、原文ではiCloudのパスワードだ。端末とネットワーク(リモートサーバー)では全く意味が異なる。理系問題において、翻訳記事はほとんどあてにならない。

Apple: We tried to help FBI terror probe, but someone changed iCloud password
http://arstechnica.com/tech-policy/2016/02/apple-we-tried-to-help-fbi-terror-probe-but-someone-changed-icloud-password/

*/


流れ的にはこうだろう。

▼FBIは事件後犯人のiPhoneを押収した。

▼iCloud(で使われているApple ID)は、iPhoneがなくともWEBブラウザ(appleid.apple.com)で、どこからでもパスワードを変更できる上に、犯人の仲間などにリモートでデータ消去(icloud.comでできる)させないため、FBIはサンバーナディーノ州の職員に、iCloudのパスワード変更を指示した。※恐らくはアップルに変更を依頼した。

▼iPhoneのパスコードがわからないので、もし「10回パスコードを間違えたらデータ全消去」設定されていた場合(設定/Touch IDとパスコードにある)のことを考え、下手に手を出せない。

▼そこで、iCloudサーバー上に、iPhoneのバックアップ(*1)させることで(本人が設定/iCloud/バックアップで設定していれば自動なので、Wi-Fiにつないでおけば「時」が解決してくれる)、いつかはそれを取り出せると考えた。と言うよりアップルが提案した。

▼しかしサンバーナディーノ州の職員がiCloudのパスワードを変更していたため、iPhone側がiCloudに接続しようとしても、新しいiCloudパスワードを求められてしまい(iPhoneのパスコードがわからないので端末に入力できない)、例え自動バックアップに設定されていたとしても、この方法は使えなくなった。

▼FBIは、iPhoneから直接データを取り出す他に方法がなくなり、アップルにiPhoneパスコードを回避するファームウェアを作るよう迫っている。

▼が、そもそもこのiPhoneは、事件2ヶ月前からiCloudサーバーにバックアップされていなかったため、iPhoneに重要なデータがあるのかどうかもわからない。

/*
(*1)ただし、使えるWi-Fiに自動接続するという設定(設定/Wi-Fi/接続を確認)になっていない場合は有効ではない。犯人が生前、間違いなく使っていたWi-Fiアンテナを探す必要があるが、毎回Wi-Fiパスワードを手入力していたような慎重派ならこれも通用しない。

※私のiPhoneはiCloudサーバーにバックアップせず、パソコンに設定している。よって必ずしも全てのiPhoneのバックアップがiCloudサーバーに存在するわけではない。これは自由に選択できる。

※iCloudなどサーバーログイン用パスワードは、暗号化された不可逆文字列で保存されるため、アップルやサーバー管理者も、ユーザーのパスワードを知ることはできないが、リセット(変更)することはできる。
*/

最高のセキュリティとは、作者(この場合アップル)にも解けないものだ。利用者以外の誰にも解除することができないロック。本来はこれが最も優れている。

Appleのティム・クックCEOが社員宛にFBIとの暗号解除問題に関するメールを送信&Apple利用者向けのQ&A公開
http://gigazine.net/news/20160223-tim-cook-email-to-apple-employees/

※全てメールに残す。これが現代の“正しい”やり方だ。

アップル VS. FBI。これは全スマートフォンユーザーに関係する戦いである
http://www.gizmodo.jp/2016/02/_vs_fbi.html


私の見解は、この犯人の端末(唯一)を対象とした、パスコード回避用のOSをアップルが作ることは簡単でも、それをインストールするためにiPhoneのパスコードが必要になるはずだ。パスコードなしでOSを更新できるのであれば、既にパスコードを回避している(中身を取り出せる)と見ていい。

それができないからパスコードが問題となっている。
できればすぐやってみせるはずだ。それが技術者だ。

今回の問題は、FBIがiCloudのパスワードを変更させたのは、リモート消去対策のためと思われるが、変更はせずにFBIのグローバル回線(IPアドレス)以外からのログインを拒否をするよう、アップルに要請すべきだった。そうすれば、後にアップル提案(と思われる)の自動バックアップ(を待つ)も試すことができた。

こういったロジカルな問題は、一度間違えるとそれ以降の手順が全て無効になるため、触る前に、起こりうるだろう全ての事象を想定しなければならない。チェスや将棋の名士が何十という先の手を読むのと同じだ。そしてFBIは失敗した。いわゆる証拠保全ルールが適切でなく、自らの手で、肝心な証拠を汚染してしまった事と同じだ。
今後同じ失敗を繰り返さないよう、マニュアルに記載することがせめてもの償いじゃなかろうか。


ころで、冒頭の記事に戻り、この数年のエドワード・スノーデンのテクノロジーやセキュリティに関する発言を見聞きし、今回確信に至った。

「そもそもFBIは端末の通信履歴を傍受しているため、iPhoneのロックを解除せずにデータを入手している」「FBIとAppleの戦いは当局(FBI)の陰謀で覆われている」

彼は恐らく妄想癖・虚言癖がある。

陰謀でも何でもなく、FBIの極めて単純なミスから始まっている。
通信傍受については、FBIと言っても大本はNSAの仕事なので、以下スノーデンが在籍していたNSAとして書く。
NSA(アメリカ国家安全保障局)とCIA、そしてDELLで勤務し、横田基地でサイバー攻撃対策のセキュリティ指導役だったことは事実でも、NSAという巨大な組織の中で「小さな存在」として生活しているうちに、NSAに何ができて、何ができないのかが見えなくなったんじゃないかと感じる。近くにいながら得体の知れないNSA(ひいてはアメリカ国家)に対し、黒塗りのベンツ論のように、妄想が膨らんでいるように見える。

NSAがSSL通信(iPhoneとiCloud間はSSL暗号化通信だ)を傍受し解読していることは知られているが、今回の銃乱射事件時、警察との銃撃戦で射殺された犯人のiPhoneは、その時点で既に通信が途絶えている。傍受するものがない状態だ。死亡が報道されているのだから、もし生き残った仲間が存在しても、死亡した犯人のiPhoneと通信をしようとはしない。共犯者としてFBIに追われるリスクがあるのだから。

NSAの手法はハッキングよりも通信経路傍受であり、iCloudサーバーの中に進入し、魚のように泳ぎ回り、好きなだけデータをあさって暗号解読できるわけではない。ましてや、iCloud上にバックアップはない、犯人は死亡し通信も行われずという状況だからこそ、FBIはアップルに対しiPhoneのパスワード解除を迫っている。

/*
これはスノーデン本人が、暗号化にPGPを用いていることが、何よりもの証だ。
暗号アルゴリズムに対しクラックを試みるのは「間違い探し」であり、あるかもしれないし、ないかもしれない。ミラクル解法があるかというと、普及したアルゴリズムには、もう見つからないと考えた方がいい。「1+1=2」を覆す努力に等しい。これができると信じた時点で、PGPを使う理由もなくなる。

SSL通信の傍受・解読は、ネットワークの実装(通信手順)の隙を突く方法であり、解読に何百兆年もかかると言われている現在主流のAES-256bitの暗号を短時間で総当たりする装置や、ミラクル解法によって手短に逆算できる頭脳をNSAが持っているわけではない。
※そのテクノロジーや天才がまだ現れていないかどうか、企業や学会、大学を監視することはしても。
*/

通信傍受は、対象者が明確な場合にリアルタイムに証拠を追う手段であり(盗聴と同じ)、「事後」収集にはほぼ使えない。銃乱射のように、衝動的で突発的に発生する事件の場合は特にだ。「ノーマーク」の一般人の全ての通信内容を保存していない限り。例え保存していたとしても、その中から該当するデータを抽出することは限りなく不可能に近い。なぜなら、犯行に関わる重要なやりとりは、メインiPhone以外の端末で、なおかつ異なるネットワーク(インターネットカフェや図書館など)で行っている可能性が高く、端末シリアル番号も、IPアドレスも、MACアドレスも一致しなければ、それが犯人のメッセージだという紐付けが困難だからだ。

簡単に言えば、NSAとはいえども、先月か先々月のある日、どこかのトイレで排出した大便までは追跡・確認できないということだ。

スノーデンはシギント手順を見失っている。

断言する。

いや、見失ったのではなく、最初から知らなかった可能性については言及しないが、アンナ・チャップマンの求婚宣言は、スノーデンの力量を見切った上で発せられていると見ていいんじゃなかろうか。

美人すぎる元スパイがスノーデン容疑者に求婚?
http://www.hazardlab.jp/know/topics/detail/1/9/1935.html


まさに、From Russia With Loveですな。

まとめ
FBIは手順をミスした。紛れもない事実だ。陰謀でも何でもなく、アップルのCEOによって、手順ミスが指摘され正されようとしている。
そしてスノーデン。私は決してNSAのレベルが低いと言っているわけではない。世界最高の技術(に加え人材と資金)を持つ組織であり、彼らにできなければ他人にもできないだろう。しかし、そもそも技術的にできること、できないことは言うまでもなく存在する。言うならば、NSAは人類史上最も優れた頭脳を持つヒト集団だったとしても、全知全能の神ではないということだ。それを理解しているはずの人物(スノーデン)の発言とは思えない内容であり、逃亡生活で勘が鈍ったのか、ただの広告塔としてアメリカ合衆国から解き放たれたのか。第一線の諜報局員(だった)とは考えられない。

私にはどこか「ミーハー」に見える。

iPhoneのバックドアという重要な問題を、変な陰謀論で煙に巻くのはやめてもらいたい。

2016/02/25追記
サイード・ファルーク容疑者のiPhone 5c(FBIが押収したもの)はiOS9らしくiOS8以降はアップルでさえパスコードなしにはデータを読むことができない。利用者心中型端末だ。
MacOSのFileVaultと同じように、端末全体が暗号化されていて、パスコードを入れて復号(decrypt)している。パスコードはただのログインパスワードではい(※)ということだ。

※持ち主本人かどうかを確認するだけのログインパスワードであれば、iPhoneを外付けディスクとして認識させることで、他のOSから中のデータに直接アクセスすることができるが、パスコードが暗号解除用の秘密キーになっているため、データを読む際に必ず必要になる。
よってアップルにも「読める」形で復元することはできない。そこで、「パスコードを10回間違えたら消去」という機能を削除した特別なiOSを作り、総当たりするしかないという話しになりがちだが、そのiOSをiPhoneにインストールすること自体、パスコードを求められてしまうはずだ。でなければ、OSを上書きインストールするだけで、いくらでもデータにアクセス可能であることを立証してしまうことになる。

最近のMacOS(FileVaultオン)は、インストールDVDからブートしようと、OSを介さず外付け(ターゲットディスクモード)でアクセスしようと、データにはアクセスできないようにできている。ユーザー領域のみならずシステムファイルも暗号化されているため、ディスクを取り出して、OS部分のみ書き換えるということもできない(はずだ)。iPhoneも同じだろう。

もし犯人がTouch IDを使っていたなら、死体に一仕事してもらうというのも手だ。Touch IDは指紋認証であり静脈認証ではないので、死体の指でもロックを解除できる。

参考資料:パソコンを液体窒素で固めて持っていかれた場合。オーシャンズ級。

チャーリー
JAPAN MENSA会員
AEAJアロマテラピー検定1級
AEAJ認定環境カオリスタ
AEAJ個人正会員

チャーリーのタンブラー(毎日更新、日記・ブックマーク的な)

by charlie-ls | 2016-02-23 18:02 | 個人ブログ | Comments(0)
今回はこのテーマ。

ナチスの暗号機エニグマの仕組み
http://karapaia.livedoor.biz/archives/52210869.html

これが解読されなかったら大戦は更に長引いていただろうと言われるナチスのエニグマ暗号機。
昨年、ちょっとした用事で、3ローター(I,II,III,IV,V,VI,VII,VIII)+1リフレクター(Reflector B,C)+1プラグボードは解読した。正確には総当たりを行った。

MD5ハッシュの総当たりと同じく、不可逆なので、総当たりした上で、暗号化後の文字列を比較しなければならない。また、エニグマのアルゴリズムは優れていて、FOOTのような同じアルファベットが2つ以上続く文字列も、CCなど連続する文字列に変換(単純置換)されるわけではなく、山勘を交えた総当たりは通用しない。

コーディング(PHP CLI版で)開始から総当たり完了まで3週間程度だった。
シミュレートしたのは 、最も普及し、第2次世界大戦中に一番使われたM3(1934)モデル。それを改良したUボートのM4モデルはあまりに組み合わせの数が多く複雑で、コーディング中に疲れ果て休憩したまま止まっている。

f0337316_01063970.jpg
ちょうど映画イミテーション・ゲームが盛り上がっていたので、Blu-rayで観た。いい映画だった。

エニグマを最初に解読したのはポーランド人。その後エニグマのバージョンアップに金銭(設備)的に対応できず、解読アルゴリズムを英仏に公開し、英国海軍情報部(その後のいわゆるMI6)が引き継いでアラン・チューリングの担当となった。

日本のパープル暗号も同じく、システムやアルゴリズムは素晴らしく、運用(現場の人間の取り扱い方)に問題があり解読されてしまう。皆が天才ではないことの証明だ。

もしシミュレータのコーディングに挑戦する人は、右ローターから入力という点、お間違えないように。ローターを左からI,II,IIIと列べると、IIIローターから入力されることにご留意を。

f0337316_00560209.png

参考資料:Enigma rotor details

チャーリー
JAPAN MENSA会員
AEAJアロマテラピー検定1級
AEAJ認定環境カオリスタ
AEAJ個人正会員

チャーリーのタンブラー(毎日更新、日記・ブックマーク的な)

by charlie-ls | 2016-02-07 01:06 | 個人ブログ | Comments(0)

f0337316_03094199.png
メールはこちら↑に。

以下チャーリーのPGP公開鍵であります。

-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: GPGTools - https://gpgtools.org
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=eilq
-----END PGP PUBLIC KEY BLOCK-----


Photographer&Engineer: Charlie
JAPAN MENSA会員

by charlie-ls | 2015-10-03 20:57 | 個人ブログ | Comments(0)
ルチアーノショー寄稿ブログ

ちょうどタイムリーな話題として、Facebookがメール通知のPGP(Pretty Good Privacy)暗号化に対応した。
あらかじめ自分のFacebookアカウントにPGPの公開鍵を登録しておけば、Facebookサーバーから自分宛に届く通知メールが全てPGP暗号化される。もちろん毎回復号(decrypt)しなければ読めなくなるので一手間増えるのだが。
※ユーザー間のメッセージ機能は既にSSL暗号化されているので追加オプション的なもの。

Facebook、ユーザー宛メールのPGP暗号化をサポート
http://jp.techcrunch.com/2015/06/02/20150601facebook-now-supports-pgp-to-send-you-encrypted-emails/

すぐさま私もやってみたがとてもシンプルなフローに仕上がっている。
企業向けならともかく、コンシューマー向けのSNSサービスとしては珍しい高度なオプション機能だ。
ユーザー全員にPGP対応を強いるよりも、セキュリティ意識の高い(またはそれが求められる職種)の人向けに、こうしたオプションを提供することは良いと思う。
全会員の2%がPGP対応したとしても、それなりにFacebook側のマシンパワーが必要とされる仕様なので、見方を変えるとそれだけセキュリティオプションへの要求が強まっていることの表れだ。

これで何が防げるかと言うと、FacebookアカウントのID、パスワードは正常に運用されている(漏れていない)状態だけども、Facebookからの通知先として登録しているメールアドレスが盗み読みされる可能性のある状況下において威力を発揮する。例えばメッセージの通知をオンにしている場合、友達から届くメッセージが登録メールアドレスにも通知される(本文も含め)ため、FacebookのアカウントID及びパスワードを知らなくとも、通知メールさえ盗み読みできる状況であれば会話(メッセージ)が全て筒抜けになることを意味する。この場合、Facebook自体はSSL暗号化されていたとしても、通知メールは平文のままなので、通知先が電話やスマートフォンでなおかつ紛失してしまった場合、拾った他人にメッセージ本文を読まれてしまいかねないことなどを想定しているのだろう。

/*
盗み読みされる可能性はないと思っている人が多い。しかし実際には会社や友達のパソコン、旅先のパソコンでWEBメールにログインした際、ブラウザにIDとパスワードが残っていたとか、どこかのWi-Fiを利用した際に全てパケットキャプチャされていたなど、漏れる要素は多々あり、各アカウントのパスワードに加え、登録しているメールアドレスのパスワードも定期的に変更したい。

例えばロシア語圏の人とメールをすると、半年もすればロシア語のスパムメールが届くようになる。私はロシア語はできず日本語でやり取りしているので「標的型攻撃」ではないことが明らかで、先方から何かしら漏れているということが見て取れる。相手にヒアリングしてみると、多くの場合旅行の後などから始まっている。
*/


別に大したメッセージ送らないしという人は本人はいいのだけども、相手から重要なメッセージが届くかもしれないなら、相手に対する責任として最低限の対策はとりたいところ。
通信セキュリティとは、自分を守るためのものと、通信相手を守るための2つの要素がある。

例えば旅行などの手続きを誰かがまとめて一括で行うような時、身分証明書などのスキャンをFacebookアカウントを通じて送ってもらうような場合、自分のメールが盗み読みされると、相手の個人情報を漏らしてしまうことになる。いい迷惑だ。

昔で言えば、交換日記を交わす相手が、いつも日記を机の上に置きっ放しにしているような状態だとすれば信頼できるだろうか。親密な事柄を綴ろうと思うだろうか。
事が起きてから「ダメな友達を持ってしまった私が馬鹿だった」と相手に思わせてしまうのはあまりにも残念だ。

クラッキングというのは、直接IDとパスワードを解析することは難しいので、人的ミスを突くことが多い。
その代表例が、セキュリティ意識の弱そうな人間をターゲットにし、そこからつながる人々を辿っていく方法。ソーシャル・エンジニアリングとも言う。

「任意の2人を隔てるのは4.74人」--Facebookとミラノ大、「6次の隔たり」を調査
http://japan.cnet.com/news/society/35010973/

昔は6人と言われていたが、今では4.7人の友達で全てにつながると立証されている。

f0337316_10254099.jpg
久しぶりにシナモンスティックを入れてみた。霊感にも効くらしい(笑)。

ちょっと話は飛んで、諜報活動にはシギントsignals intelligence=対信号)とヒューミント(Human intelligence=対人間)とあり、英国で言えばGCHQはシギント、ジェームズ・ボンドのMI6はヒューミント、アメリカで言うならばNSAはシギント、CIAはヒューミントを主に管轄している。諜報活動というと大げさに聞こえるものの、フィッシング詐欺などもこれらを組み合わせて行い、情報収集の基礎と言える。前述のソーシャル・エンジニアリングもやることは同じだ。

IDとパスワードそのものをクラックするには、余程簡単な(数字だけとかメジャーな英単語など)ものでない限り難しく、英数字混合になると何兆通り以上のアタックが必要であり(全てのパターンを試すことを総当たり=ブルートフォースアタックという)、通常は3回間違えるとロックがかかるため現実的な手法ではない。
※例えば大文字・小文字を区別する英+数字のパスワードの場合、8桁で218兆通りを超える。BIG1等=6億円が4,541万回当たる感じ。

そこでお喋りさんや、セキュリティ意識の低い知人などが狙われる。直接のターゲットではないので「踏み台」と呼ばれている。
総当たりをシギントとすれば、友達の友達から辿っていくのはヒューミントだ。

1億分の1の確率でしか間違いが起きない検査でも、100回に1回起きる人為的ミス(取り違えなど)が足を引っ張り精度と評判を落とす原因となることに似ている。

蜘蛛の巣状に広がった友達ネットワークの中に1人でも穴となる存在の人物がいると、ネットワーク全体に影響を及ぼしてしまう。
それは組織や社会に迷惑をかけることにつながる。

「あの人、存在自体がセキュリティホールだよねー」(笑)なんて言われないように注意したい。

「ネットワークセキュリティ」というと専門的な響きだが、家の鍵でいえば、後から家を出る同居人に鍵を渡して自分は外出した。家に帰るとドアノブにそのまま鍵がぶら下げてあった。この同居人と信頼関係を築けるだろうかという問いの答えが指すところこそ、今まさにインターネット社会における人付き合いに問われている問題と言える。
まだ普及して10年20年だからこそ「わからない」で済まされている領域であり、実際には家の戸締まりの方法がわからないと言っていることに等しい

ISIS、位置情報つき自撮りをSNSにアップし、アメリカ軍に爆撃受ける

http://iphone-mania.jp/news-74133/

命がけの戦地でさえこのようなことが起きる。

/*
デジタルカメラやスマートフォンで撮影した写真には、撮影時間、カメラやレンズ、フラッシュの設定値、カメラのメーカーや機種名、GPS座標(対応していれば)などが記録されている(メタデータと言う)。そのままアップロードすると、メタデータも一緒についてくるので、景色や背景などに場所が特定されるようなものが写り込まないようにどれだけ気を配っても、メタデータを見れば時間と位置が特定されてしまう。
「病気だった」はずの人が(時間を空けて)リゾートの写真をアップしたとしても、メタデータを見れば“ズル休み”が確定することもある。
*/

日本に住んでいれば自分のミスでミサイルが飛んでくる程のことはなくても、米軍はサイバーアタックを戦争の一部として見なしており、電子的な(インターネットなどの)攻撃に対して、物理的な(ミサイルなどの)報復を行う考えを示している。
「SNSで写真アップするくらいだし、漏れても影響はない」という人も、自分のパソコンが踏み台にならないよう(これが攻撃に使われるので)、ネットワークにつながっている以上は一員としての責任感が問われる、より“連鎖的”(連帯的)な時代となった。そこに国境などなく、多くの踏み台は、足が付きにくい外国のパソコンが使われる。だからこそ、気がついたら自分のパソコンが見ず知らずの海の向こうの抗争に加わっていたなんてことにならないよう注意が必要だ。

ネットワーク上の“踏み台”は、例えるならば、有名人や要人、お金持ちの知り合いがいて、その人に近づきたいがために寄ってくる人に要注意といったソレみたいな感じ。
ターゲット、踏み台、犯人の3点セットは時代を超えて健在だ。

f0337316_10401225.jpg
ソ連時代から“極右”で知られているジリノフスキー下院議員も自撮り棒を愛用している。
ロシア国内では“コメディアン”として見られておりワイドショーの常連だ。なぜかそのことは西側ではあまり紹介されない。

ちょっと話は戻って。
「暗号化すれば安全」といっても現在世の中に出回っている暗号技術は「人間には絶対解けない暗号」ではなく、少なくとも最新のコンピュータの処理能力では、生きている間に解読されることはないだろうという意味合いでの「不可能」の定義で“安全”をうたっている。

一般的な暗号技術は、解読する際に素因数分解を行う。
これはコンピュータにとって最も時間のかかる計算であり、いわば「無理難題」を押しつけてその間解読を先延ばししている状態。

玄関の鍵で言えば、特定の順番に開けていけばいつかは解錠されるんだけど、鍵が100万個ついてるんだよね的な。
もちろん家主はマスターキーを持っているので1回で全て解錠される。これが暗号化・復号の際に使うパスワード(秘密鍵)。

気長に100万個解いていくのもいいが、そこまで欲しい情報なのかという点、解き終わる頃に必要な情報かという点に加え、作業中に逮捕される可能性を考えれば、社会通念上「解読は不可能」に“等しい”という考え方だ。

そこで攻撃主は、素因数分解のように複雑な処理を行い、数学的に暗号自体を解読しようと試みるのか、復号用のパスワードをスポーティーに総当たりするのか、或いはヒューミントによって007的にパスワードを聞き出すかを選択することになる。
総当たりを許す環境(パスワードを間違えてもロックされない場合)ならば、一般的には(パスワードの桁数が少ない人が多いので)暗号解読よりも速い。
パスワードを総当たり(4桁の数字なら0000〜9999までの全部を試すこと)した場合に解かれる時間は下記の通り。

英字(大文字、小文字区別有)+数字 4桁=約2分、6桁=約5日、8桁=約50日、10桁=約20万年
英字(大文字、小文字区別有)+数字+記号 4桁=約9分、6桁=約54日、8桁=約1千年、10桁=約1千万年
※独立行政法人情報処理推進機構(IPA)が2008年に行った試験
http://www.ipa.go.jp/security/txt/2008/10outline.html
※使われたコンピュータは当時の一般的なパソコンのスペックであり、もう7年前のデータなので最新機種ならば大幅に縮まっているかと思う。

ご覧の通り、パスワードに英字+数字+記号を含めましょうという根拠はここにあり、なおかつ8桁以上のものが求められるのはこういった理由から。

そして。
コンピュータの世界には18ヶ月で2倍速になるという(ムーアの)法則がある。

1年半:2倍
3年:4倍
4年半:8倍
6年:16倍
7年半:32倍
9年:64倍
10年半:128倍
12年:256倍

ということは今のコンピュータでは解読に100年かかると言われたものは、9年後のコンピュータでは1.5626年、12年後のコンピュータでは4.6875ヶ月で解読されてしまうということ。
前述の8桁の英数字(大文字・小文字区別有り)で言えば、もう7年経っているので、約50日→1.5日で解かれる可能性があり、2015年現在10桁以上のパスワードをおすすめする。

12年前=2003年の機密文書は今もなお機密だろうか。それとも賞味期限が過ぎているだろうか。
現在もまだ重要な機密であるならば、256倍速く解かれる可能性があるので、数年おきにより高いbit(高強度)の暗号技術で暗号化しなおし、なおかつパスワードもより長いものに変更する必要がある。

/*
ちなみに私は1999年以降13桁以上のパスワードを使用しており、今年に入って19桁に変更した。これが10個も20個もあるので覚えるのが日に日に大変になっている。ブランデーなんて飲んでいい気分になろうものなら忘れかねないので、リズム(ビート)や音などと組み合わせて記憶している。これからは「パスワード記憶術」(整理の方法じゃなくて)が流行るんじゃないかと思っている。
*/

コンピュータの速度が上がれば上がる程、暗号の解読(復号)速度も上がるわけだから、もし全ての処理を暗号化すると想定すると、コンピュータの速度向上相当の暗号強度が必要になるため、一生コンピューターの体感速度は変わらないことになる(笑)。※速くなった分だけより複雑な暗号化処理にマシンパワーを割くのだから。

暗号化したものは復号できなくては意味がないので、言い換えるといつかは必ず解かれるということ。

画像フォーマットで言えば、圧縮してファイルサイズを軽くした後、閲覧する際に元のデータ及び画質に戻すことができる可逆演算(PNGやTIFFなど)方式のものもあれば、劣化したまま元に戻すことはできない不可逆演算(JPEGなど)方式のものとある。

/*
音楽フォーマットで言えばMP3は不可逆演算、AIFFは可逆演算方式だ。MP3などは一般的な聴力ではほとんど聞こえないと言われている周波数帯をカットする。聴こえる人からすれば、あるべき音がなくなったことになる。
画像も音楽ファイルも、可逆演算型フォーマットで保存しておかないと、劣化したものだけが残ることになる。デジタルカメラで撮影する際、JPEGではなくTIFFやRAWで撮った方がいいというのもこのことから。
*/


ビフィズス菌を乾燥させ粉末・タブレット状にし、腸内で元に戻るというものもある意味可逆演算的な考え方だ。

f0337316_11121208.jpg
ブラックベリーは僅かに凍らせると甘みが増して美味しい。

では、暗号解読も総当たりも困難な場合はどうでるのだろうか。
ここからがヒューミントの出番であり、パスワードを直接または間接的に聞き出すというアナログな作戦だ。
銃を突きつけてということは余程のことが無い限り遭遇しないにしても、本人にハニートラップを仕掛けるのもありだし、知人などから間接的に聞き出すこともよくある手法だ。
例えば警官や銀行員を装って家族などに緊急の電話をするという手口などもこれらに含まれる。

また口の軽いお喋りさんを狙うことで、パスワードを推測する上で必要な情報が得られることも少なくない。

「秘密の質問」が突破される確率は? Googleが調査
http://headlines.yahoo.co.jp/hl?a=20150522-00000016-zdn_ep-sci

「秘密の質問」は元々は本人がパスワードを忘れた時にイチイチ問い合わせされると面倒くさいからというサービス提供者側の都合で始まった仕組みだが、セキュリティという意味合いではほとんどの場合役に立たないか、セキュリティレベルを引き下げかねない運用のされ方をしていることが多い。

母親の旧姓、初めて買った車、初めての海外旅行、ニックネーム、ペットの名前など、幼なじみやずっと地元で育った人達なら周囲の誰でも知ってるか、容易に予測が付く質問ばかりだから、運用方法を間違えるとパスワードをアタックするより簡単な侵入方法を与えているにすぎない。

この「秘密の質問」をセキュリティに貢献させようとするならば、ログインIDとパスワードを入力した後、更にこれらの質問に正しく答えた場合のみログインさせるという運用方法でなければ足しにならない。
ただし元々は「忘れた時のためのヒント」なので、利便性と安全性は相反するものだという象徴的なサンプルと言える。

というわけで漏れる要素と環境は山ほどあり、かといって1つ1つ最新の技術を学んで行くのもなかなか忙しく。
では組織において、誰にこの全責任を丸投げしようかという点について、次回チャーリーの考察をお届けしたい次第であります。

■本日のリンク
パスワードはなぜ8文字以上にするのか
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

サルにも分かるRSA暗号

http://www.maitou.gr.jp/rsa/rsa01.php
※高校生向けに書かれていてとてもわかりやすいが、どんなに進化が進んでいるとはいえ、2015年現在のには分からないと思う(笑)。

無線LAN「ただ乗り」を初摘発 パスワード解析して不正接続、容疑で男逮捕

http://www.sankei.com/affairs/news/150612/afr1506120009-n1.html
※無線LANセキュリティのことを書いてきたのでタイムリーなニュースだ。

ジェームズ・ボンドになりたい人はこの大学へ!-イギリス

http://news.livedoor.com/article/detail/9207422/
※オックスフォード大やりますな。そのうち「英国人口の2%はボンド、ジェームズ・ボンズ」的な。

「アンテナがない黒い機器」に注意 - ルータの脆弱性でメーカーが確認呼びかけ

http://www.security-next.com/058947
※該当機種をご利用の方はご一読を。

ロジテック製無線LANブロードバンドルータ(LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関する警視庁発表について
http://www.logitec.co.jp/info/2015/0602_02.html
※該当機種をご利用の方はご一読を。


Photographer&Engineer: Charlie

今回の記事は、下記の続きです。
デジタル情報時代のホスピタリティって“個室”じゃないかも。
スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。
添付ファイルとパスワードを別便で送るアレ、やめて。セキュリティ1〜5章
無線LAN(Wi-Fi)の傍受は違法なのか。
パソコンを液体窒素で固めて持っていかれた場合。オーシャンズ級。
女の子がお父さんのマックをハッキングした!〜007最新作を見る前に〜

Homepage
Facebook
Twitter
Instagram
ルチアーノショーで働くスタッフのブログ
専属カメラマン☆チャーリーの寄稿ブログ(過去ログ)
専属カメラマン★チャーリーの部屋(過去ログ)

ルチアーノショー
TEL : 03-3531-4851

by charlie-ls | 2015-06-19 13:22 | 【赤坂】ルチアーノショー寄稿ブログ | Comments(0)
ルチアーノショー寄稿ブログ

最初は連載もので書き始めたものの、最終的には第1章から第5章に分け1つのブログにまとめた。
永久満足だ。
通常ネットワークセキュリティについて語ると本3冊(上中下)くらい複雑なので長編ご容赦願いたい。
セキュリティが不安になって夜も眠れなくなった方は、最後の結論をまずはお読みくださいな。


■第1章 秩序型ハッカーに見られる正義
企業(特に大手)とメールのやり取りをしていると、暗号化した添付ファイルとそれを開くためのパスワード(平文)が別便で送られてくることがよくある。
上場企業なら半数くらいだろうか。

意味ないからヤメテ。

意味がないだけならいい。受け取る側がめんどくさいことさえ我慢すればいいから。
問題は、インターネットの仕組みを知らないことを宣言しているようなもので、むしろ危険なんじゃないかと思う。
「うちには番犬もいなければ、銃もありません。玄関の鍵も刑事ドラマのように蹴ったら壊れるやつです」という張り紙に等しいし、場合によっては「やれるもんならやってみろ」と挑発している(人をバカにしてる)かのようにも受け取られかねない。
そのくらい的外れだ。

何もしないよりはいいでしょう。と言われたら。
いや、そうでもない。何もしない方が、何か仕掛けている可能性があって手を出せないものだ。

例えるなら3桁のダイヤル式南京錠でロックし放置された6億円入りのトランクと、何もロックされずにただ置いてある6億円入りのトランクを目の前にした時と同じ感じ。
たった3桁の鍵(1,000パターン)で6億円を守ろうとすると、「愚か」(6億円の価値がわかっていない)と感じた者(いずれ犯人となる)が忠告し、忠告が受け入れられないと実際に盗んでみせる。そして再犯をほのめかすかのような警告メッセージ(特に警備担当者や責任者に宛てた)を現場に残す。いわゆる「署名的行動」の一種だ。必要に応じて声明文も出すだろう。この場合の犯行はお金目当てではないので、事後どこかに寄付されたりするかもしれない。もっとマシな6億円の使い道があることを教えるかのように。

こういった事前忠告・警告を伴う事件の犯人は、日頃から受け入れがたい社会的問題に危機感を覚え、それを正さなければならないという自分の中の正義感に燃えていることが多い。
例えば空港のセキュリティの甘さを事前に警告し、受け入れられなかったため、侵入・ハイジャックしてみせた犯人など。
ハッカーにも共通点がある。お宅のセキュリティ甘いですよと事前に警告し、対応・修正する気配がないと、無責任で社会の一員として見なせないと判断する。そして侵入し顧客情報を盗み、インターネット上に流出させターゲットの信頼を失墜させる。「知らしめる」という概念だ。
※一般的にハッカーは秩序型で、クラッカーは無秩序型と考えられる。ハッカー、クラッカーは正式な呼び名と定められているわけではない。

/*
秩序型、無秩序型は犯罪の種類であり、犯罪学では、何らかのポリシーに従って計画的に行動することを秩序型、特定の対象者はなく、例えば街で目が合っただけといった衝動的行動によるものが無秩序型と分別されている。
*/

ボクシングに限らず1回目はジャブで、対応しなければ2回目はストレートが飛んでくるのは当たり前だ。

だから大企業が意味のないセキュリティ手法を何年もそのまま用いていると、改善する気の無い「堕落者」、そして社会への影響力などを自覚し、日々襟を正していかなければならないという意識がない=「ふさわしくない」とみなされ攻撃を受けることになる。
この場合の彼ら(犯人)の「正義」は、企業が掲げる個人情報保護(プライバシーポリシー)に対し、それは「嘘」だと暴くことにある。時としてジャーナリズム精神との類似点を示す。
大手、有名企業を狙うのは、言うならば“生贄”に近いだろうか。マイナーなところを狙っても報道されないことも多く(社会的メッセージの訴求力が弱い)、いつの時代も代表者(象徴的存在)を見せしめ的に罪の追及をすることがよくある。

それが歪んだ正義だろうと犯罪であろうとなぜ狙われるのかを理解するところから始まる。

無秩序型はルーレットみたいなものだから基本的に対策の打ちようがない。毎日アストロロジーでも読んで祈る他ない。

セキュリティとは往々にして心理戦だ。
「セキュリティ」というと、何かデジタルな世界のロジカルな話だと思う人も多いが、日本語で言うと防犯
暗号学とか数学とか量子論が絡んできても、結局は人間対人間

で、冒頭の方式、何で意味ないの?ってところですな。

別便で送る理由は、添付ファイルと同じメール内にパスワードを書いてしまうと、その1通を傍受されるだけで中身が全部読めてしまうという懸念からだろう。2つに分けたら傍受する方も2倍大変って戦法かと思う。

宛先を間違えた場合や、当該メールが流出した時に、添付ファイルかパスワードメールかどちらか片方で済む可能性が多少なりとあり、その分安全(かもしれない)という説もある。しかし多くの実例において私はそうは思わない。
なぜなら企業が先方の担当者や顧客個人に添付ファイルを送る際、申込書、契約書、解約書など、何も記載されていない「記入前」のものを暗号化していることが多く(使い方自体を間違っている)、受信者はこれを印刷→記入→スキャン→メールで返送する際(ここが肝心)、暗号化してないことが多い

暗号化する対象物自体がズレており、このケースだと何も消費者を守っていない。自己満足型暗号だ。
警備会社で例えると、空の現金輸送車が銀行に到着するまで護衛して、現金を積む前に護衛が引き払うようなものだ。

ただの紙(テンプレート)を暗号化して守りたいのか、顧客の機密や個人情報を守りたいのか、そもそも取り扱う担当者自身がセキュリティを学んでいるわけではなく、会社の形式的なフォーマットに従っているだけであるという点に問題があり、こういったちぐはぐな事態を生じさせる。そのような会社がISO 27001(情報セキュリティマネジメントシステム)認証などを掲げていると、むしろ狙ってみたくなるいわば「突っ込みどころ」を与えているということ。

更に問題は、この手の企業は、なぜ自分たちが狙われたのかを理解できず、「対策は万全だった」とし、被害者として振る舞うケースが多い。

このブログは、正義のハッキングを肯定するのではなく、自ら餌を巻くのはやめましょうという呼びかけだ。

/*
余談的に例えると、ボクシング経験者がキックボクシングや総合格闘技のジムに行き、「私はボクサーだ」と言うと、大凡初日は「蹴り」を中心に痛い目に遭うのと似ている。「甘く見るな」という忠告でもあり、ある種のプライドが働くものと思われる。「キックや総合は全くの初心者です」と言えばそれ相当の対応をしてもらえるが、「プロ同士」となれば容赦しない。そんな感じ。

「目に付く行動は控えましょう」という防犯の基本でもある。
*/


■第2章 パスワードを渡す方法
では、とりあえず暗号化する対象物は間違っていないものとして話を進めよう。
ここでいう「傍受」とはスターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。の記事で書いた「スニファリング」すなわちパケットキャプチャのことを言い、暗号化されていれば復号することも含めたものとする。
※現在のスイッチングハブ構成下ではスニファリングは「できない」に等しいので(できたとすれば犯人はすぐ隣にいるか、ハブの中に住んでいる)、Wi-Fi接続の「モニタリング」に限られるだろう。
※有線LANのスニファリングは通称バカハブが出回っていた2003年頃までの話ではなかろうか。
※いつでも送受信者の端末を直接取り扱える人や、ID、パスワードを知っていて送受信者と同様にログインできる人については「本人に等しい」と見なすべき。

スパイ(傍受する側)の立場
になって考えてみたい。
大量のパケットが流れるプロバイダなどの基幹スイッチを傍受しても(できたとしても)、何十万、何百万人分のトラフィックの中からお目当ての人物宛のデータを探し出すのは一苦労(というより普通は無理)だから、ターゲットのパソコンが設置されている最終セグメント(ネットワークの一番末端)をスニファリングするのが基本だ。
※この場合、メールを送信する人、または受信する人のパソコンがつながっているネットワークのこと。
※泥棒がターゲットの帰宅に合わせて自宅に入り込もうという魂胆の際、東京駅で待ち構えるよりも、対象者が最終的に降りるローカル駅で待ち構える方が簡単なのと同じ。

よって通信傍受を心配した時点で、自分か先方かのどちらか又は両方の端末が設置されているネットワークがスニファリングされている可能性を検討することと等しい

では、もし相手が1日10通しかメールを送受信しない人だったらどうだろう。10通中2通が上記のメールだ。手作業でも探し出せる。

だから意味がない。

特に企業→個人宛の場合、受け取る個人側は今日1日の間に、その企業のメールしか受信していないケースもある。
玄関先で待ち構えているスニファリングをどうやって防げるのだろうか。本人到着の10秒後に鍵が届くと防犯になるのだろうか。

だったらいっそ平文(暗号化なし)でいいから、gmailやiCloudメールに送ってもらう方が安全だ。
※ログインID、パスワードが漏れなければという前提だが(これは全てのことに言える)、gmailやiCloudならログインからSSLで暗号化されているし、そこを傍受するにはSSLという確立された技術と、googleやAppleのセキュリティ担当者を相手に戦うことになるから。それでも漏れることを心配するならば、自分が彼らよりもはるかに技術レベルが高いことを確信した上で、最強の要塞システムを作りあげる以外方法はない。

そもそも末端(自宅やオフィスのデスク)ネットワークをスニファリングされている場合、家族や同僚、または宅内・オフィス内に入った人物が犯人なのだから、(もうやりとりしてしまったものについては)諦めた方がいい。いさぎよく未来に目を向けよう。
※Wi-Fiの場合は宅内・オフィス内に侵入しなくても、Wi-Fiネットワークのパスワードさえ知っていればいいので危険度が増す。

じゃ、どうすりゃいいのって話ですな。

相手がSSLで暗号化されたWEBメールアドレスを持っていないなら、「メールを受け取ったら家・オフィスの外に出て(バッグなど持たずに手ぶらで)、公園にでも行って携帯電話から私の携帯電話に電話ください。不安なら水着に着替えてと書いておき、電話がかかってきたらその通話でパスワードを教える(笑)。水着かどうか確認するためにテレビ電話でもいい(笑)。

半分冗談だが、他に方法がないならおすすめする。
だってこれ(盗聴に気をつけ、本文とパスワードは異なる通信手段によって伝達する)が暗号学の基本中の基本=入門だから。

/*
一度侵入されたら、総入れ替えくらいの気持ちがないと根本的解決は難しい。なぜならネットワークをスニファリングされている場合、盗聴も疑った方がいいから。
例えば傍受対象の担当者のデスク(自宅も同じ)の電話も盗聴されていたら、その電話でパスワードのやりとりをすれば聞かれてしまうのだから。
だから何もない、だだっ広いところで携帯電話同士で話せば盗聴リスクがなく、シンプルで確実な方法だ。

結局のところ、どこまで心配するかだ。
一過性のものであってもバッテリータイプの無線盗聴器を疑い、バッグや洋服(のポケット)なども気にしだしたら止まらない。
気にしすぎると、強迫性障害を引き起こしてしまう。
*/

暗号学における重要な課題は、どうやって暗号化するかではなくて、どうやってパスワードを相手に伝えるかだ。
パスワードさえ知ってしまえば、Wi-Fiを暗号化しても意味がないことと同じだ。

もし携帯電話同士(ドコモ同士、au同士、ソフトバンク同士)のメールが可能なら(電話回線接続で)それをおすすめする。
各キャリアのネットワークの外に出ないため、極めて安全だし、通信自体が暗号化されているので傍受の心配もない。
※今はどうか知らないが、昔は各キャリア同士のメールを円滑に伝送するために専用線で接続されていると聞いた。もしそうならば、携帯電話会社同士のメールは一度も外に出ないまま(巨大な社内LANのようなイメージ)届けられるので、異なるキャリア(ドコモ、au、ソフトバンク)間のメールでも極めて安全だ。

/*
もちろん政府から追われている場合を除いて。そもそもそれは傍受という前に捜査だから(笑)。
捜査令状や対テロ法みたいな緊急措置で傍受する場合は、プロバイダだろうと何だろうとやりますからな。
*/



■第3章 非現実的なスニファリング(パケットキャプチャ)
自分が何を心配しているのかを理解する必要がある。
相手と自分は信頼できるセキュリティレベルにいるから、基幹ネットワークだけが心配だというならば、どこの通信事業者なら信用できるのかというところまで掘り下げることになる。
(*A)そもそもプロバイダや通信事業者のスイッチ間にいわゆるバカハブを差し込み、そこからスニファリングしたデータを無線で飛ばすか(1ポート片側10Gbpsもある基幹トラフィックをもれなくWi-Wi1つの電波で飛ばせるだろうか)、或いは媒体に記録(10Gbpsなら1秒あたり約1ギガバイトの容量)して定期的に取りに行くかしなければならない(この場合リアルタイムではないので、パスワードに時間制限を設けることである程度リスク回避できる)。

その機器類の電源と設置場所の確保、施設に頻繁に出入りすることがどのくらいあり得るというのだろうか。
24時間有人パトロールのデータセンターにおいて、果たして何時間バレずに稼働し続けるだろうか。
爆弾テロに備え、地下に設計された高強度コンクリートと分厚い鉄板の壁のデータセンターから、どうやって地上まで電波を飛ばすのだろうか。仮に電波が届いたとして、データセンターの地上に24時間ワゴン車を停めておけるだろうか(キャッチする側も電源とアンテナが必要だ)。

ダニエル・オーシャンでもできないことはある。
そこまで心配する時点で、個人の通信機密の領域を超えており議論の場はインターネット上ではないはずだ。

侵入もされてなければ、追われてもない人が、猛烈に心配し、自分は狙われていると確信しているケースもある。まずは本当に侵入されたという痕跡を見つけるまでは「勘違い」の線も捨てずに調査しよう。何もないものを必要以上に心配している場合は、感情に知識・技術が追いついていないか、外的要因による精神的ストレスによるものかもしれない。オブセッションの可能性もありカウンセリングが必要だ。

では、水着にならなくていい方法はないのかって話ですな。

Wi-Fiセキュリティをクリアしていることを前提で。
まず確認すべきは、送信者・受信者ともに、メールの送信(SMTP)とメールの受信(POPまたはIMAP)がSSL接続であるかという点。

通常、平文とSSLではポートが異なるので、
それぞれのポート番号は、POPは通常110、SSL暗号化で995POP受信はこれがいい)、IMAPは通常143、SSL暗号化で、993
IMAP受信はこれがいい、SMTPは通常25、SSL暗号化で465、サブミッションTSL暗号化で587送信はこれがいい)だ。

※相手のメールサーバーをポートスキャンすれば事前に大凡のレベルは調べられなくもない。通常はやり過ぎだが、グローバル側からネットワークセキュリティレベルを診断してくれるサービスも同じ手法だ。空港の持ち物検査のようなノリだ。

送信側、受信側のどちらもSSL接続なら傍受リスクはほとんどないんじゃない?と私は思う。
だったら平文のまま送ってもいいかと思う。

(*Aa)確かに送信者のメールサーバーから受信者のメールサーバーまでのトラフィックは平文だが、そこってプロバイダとか基幹ネットワークなんだし、傍受リスクは極めて低い。このゾーンに見ず知らずの個人がボランティアで立てているようなサーバーが設置されていない限り。もしあれば、国連本部にマイク・タケダの音声レコーディングルームが設置されていても驚かない(笑)。
まともなプロバイダなら、データセンターも中継局も「入り口」さえわからないように設計してあるのだから、私は日常生活で心配しない方。

簡単にネットワーク構成をまとめてみた。
双方共にプロバイダのメールサーバーを使用している場合の図。
f0337316_12084140.png
赤いスニファリングスポットは、最も可能性のある傍受スポット。見ての通り、SSLでガードされている。
白いスニファリングスポットは、上記(*A)(*Aa)の通り、平文だが現実的ではない傍受スポット。
gmailやiCloudの場合、「POP」「SMTP」のゾーンをそれぞれ「gmail」「iCloud」と読み替えていただきたい。この場合「プロバイダのデータセンター」は「gmail(又はiCloud)のサーバー」ということになる。

※代表的なサービス2つを挙げているだけで、ログイン画面からSSL(ブラウザに鍵のマーク)接続のメールサービスなら同じ。

じゃ、ほとんどの人は大丈夫ってこと?
と聞かれれば、Wi-Fiセキュリティをクリアしていることを前提に、大手プロバイダ、大手WEBメールサービスを適切な設定で使用している人は安全でしょうと答える。
大手プロバイダはPOPもSMTPもSSL暗号化に対応しているし、gmailやiCloudなどSSL暗号化されたWEBメールサービスを使う人が多いし、私が犯人なら「傍受」という手法では可能性が低すぎて合理的だとは思わないだろう。

/*
あえて疑うなら企業側が心配だ。沢山の人が出入りする上、社員のほとんどはネットワーク構成を知らないため、スイッチングハブ周辺を点検する人もいない。設定なども全て外部の業者任せなので、秘密保持契約を結んでいたとしても、多くの場合は従業員か委託業者から漏れている。そして上司や会社を恨んでいる人がいる確率の高さ(笑)。
企業側はパスワードを別便で送るよりも、端末からメールサーバーまでの間、完全にSSL暗号化されていることを証明することの方が重要かと思う。
*/

参考までに
iCloud のセキュリティおよびプライバシーの概要
https://support.apple.com/ja-jp/HT4865

というわけで、パスワードを別便で送ることの有効性は、一通目の宛先を間違って送信してしまった時に限られるんじゃないか。
じゃ、ファックスも禁止しよう。できれば郵便も。一回目の電話でつい喋っちゃう人も禁止


■第4章 盗まれているというより漏れている。
これだけほとんどのメジャーなサービスがSSL暗号化されている時代に、どこからどうやって漏れるの?って話ですな。
そう。「傍受」よりも「漏れる」ことの方が多い。

●パスワードを入力する際、手元を見られた。速読術、読唇術のように、手元の動きを一瞬でキー配列として覚えられる人がいる。
●パスワードを書いたメモを見られた。今は簡単に写真撮れますからな。
●他人も触るパソコンでログインした際、履歴やキーチェーン(MacOSの場合)などにIDとパスワードが残った。

など。
どちらかというと本人の不注意だ。
こういう場合は秩序型ハッカーよりも、無秩序型クラッカーに狙われることになる。
なぜならただの「盗み見」から生じるクラッキングであり、社会的メッセージ性がないから。かじった程度の人や、まだ勉強中の学生など、自分の知識・技術の誇示またはスキル向上の自覚材料がほしい場合に見られる。

だからiPhoneやiPadなどの携帯端末と、ノートパソコンやデスクトップパソコンのメイン端末のパスワードは同じものにしない方がいいし、楽天やAmazon、iCloudにYahoo!など各サービスのログインパスワードも同じものにすべきではない。1つ漏れると全部ログインできるようになってしまうから。
特に携帯端末は出先(人混みの中)で使うことが多いので、パスワードを覗き見される可能性が高い
※iPhone 6の人はTouch ID(指紋)認証に変えよう。

そして定期的にパスワードを変更しよう。

パスワードの変更手順にはおすすめの順番がある。
下準備:まずノートンアンチウイルスなどで、パソコン内をフルスキャンする。接続しているストレージがあればそれも全てスキャンする。普段使用するSDカードやUSBメモリなども全て。
この段階でウイルス(バックドア系)に感染している場合は、除染が完了するまで下記には進まない。

1、プロバイダに接続する際、(フレッツのように)PPoEなどID、パスワードを使う場合は、まずプロバイダの会員サポートにアクセスして、接続用パスワードを変更。
  マンションLANなど特にID、パスワードを入力せずにつなぐ場合は省略。

2,Wi-Fi接続ならWi-FiのWPA2パスワードを変更。
  Wi-FiアンテナにPPoEの接続設定をしている場合は「1」で変更したものを入力する。
  そして一端Wi-Fiアンテナを再起動して、自分の端末を再接続する。

3,メールの受信がPOPやIMAPなら受信用パスワードを変更。プロバイダのメールアドレスなら、プロバイダの会員サポートにアクセスしてメール用パスワードを変更。gmailやiCloudのようなWEBメールならログインパスワードを変更。
  一端ログアウトし、必要な時に再ログインする。
  ※ブラウザが南京錠マーク(SSL接続)かどうか必ず確認。

4,各種サービス(楽天やAmazon、Yahoo!、WEBメールなど)のログインパスワードを変更。

1〜4の順番を反対にしてしまうと、メールのパスワードを知っている人から覗かれていた場合や、Wi-Fiのパスワードを知っている人にスニファリングされている場合に、せっかく変更した新しいパスワードも漏れてしまう可能性(パスワード変更画面がSSLなら問題ない)があるのでご注意願いたい。

あとは女性に多く見られるのが、設定を男性に頼んで、その男性が覗き見設定している場合。※その反対もあるかもしれない。
私が相談を受けた女性3人は3人とも携帯電話やスマートフォンを「追跡」されていた。GPS位置情報が他人から参照できる設定になっており、本人は「赤坂にいた」と言っても「嘘をつくな。●●にいただろう」と度々問いただされておかしいと気づいたらしい。残念なことに、彼でも何でもない相手だった。

その他、プロバイダの「リモート設定サービス」なども、用が済んだら無効化(または削除)した方が良い。
これを悪用して「画面共有」などの機能を使われると、外からあなたのパソコンの画面が閲覧されてしまうから。


■第5章 プリティグッドなプライバシー
重要な機密を扱う人はPGP(Pretty Good Privacy)をインストールしていることがほとんどなので、自分自身が対応できるならPGPで暗号化してやりとりすれば言うことなしだ。
西側の技術だがオープンソース版OpenPGPも出ているので、いわゆる東側諸国でも使われており、世界中の政府関係者および諜報部員御用達だ。その昔はアメリカ国外に持ち出せない暗号化技術だった。
PGPは公開鍵暗号方式なのでパスワードの交換の問題もなく、インターネット上での暗号通信に適している。

これなら自分の端末から相手の端末まで全て暗号化されているため、どこでスニファリングされていようとも安全だ。
VPNも全て暗号化されるが、接続するためのID、パスワードをどうやって伝えるかの問題があるのと、接続先が固定されてしまうので、不特定多数の人とのやり取りには適していない。

ちなみにいくつかの報道を見る限り、エドワード・スノーデンMacBook Air+PGPの組み合わせのようだ。
さすがNSA/CIA。スマートだ。
モスクワのスターバックスでドヤリングしていたのだろうか。日本のメディアでエドワード “ドヤリング” スノーデンとか紹介されつつ。まぁ、ドヤリングしたくもなる肩書きだし申し分ない通信環境だ。

※ちなみに私がPGPを最初にインストールしたのは1999年。これがきっかけで暗号学に興味を持った。

PGPがシマンテック社に買収されて以来使わない人も出てきたので、私は相手がマックの場合、暗号化ディスクイメージ(.dmg)を使用している。
はるか昔からMacOSに標準実装されているので、相手がマックなら対応していることは確実だし(機種を選ばない)、私はAutomatorで専用アプリケーションを作り、暗号化したいファイルのアイコンをドラッグするだけで暗号化されるようにしている。後はメールに添付して送るだけ。極めてシンプルだ。
ユーティリティ/ディスクユーティリティ/新規イメージ/暗号化/256ビット AES 暗号化
でできる。
パスワードは携帯電話同士の通話か、携帯電話同士(同キャリア間)のメールで伝えることがほとんど。

PGP環境がなく、よほど込み入っている場合は、電話で先方の現在のIPアドレスを聞き、そのIPアドレスからしかアクセスできないファイアウォールを設定したサーバーに必要ファイルをアップロードして、SFTP(SSL化されたFTP)でアクセス及びファイルを取得してもらう(併せて次回のID、パスワードも)という方法をとることもある。通話中の本人のアクセスであることを確認し続け、電話の切断とともにファイルは削除する。初回のSFTPパスワードは電話や、ダミー(普段使っていない)Facebookアカウント(当然SSL接続)等で伝える。

一度安全な暗号化通信に成功すると、その後はいくらでも応用が利く。
このブログでお馴染みのロンドン3丁目(笑)の女性とはおもしろい暗号の取り決めをしている。
顔を合わせた際に口頭でパスワードを決め、例えば「今日の日付(ロンドン時間)に100をかけて85を引いた数字を末尾に付ける」といった具合に。
※実際はもうちょっとオックスフォード的なノリだが。
取り決めたパスワードが「uUuUmEmEmEmE」で、ログイン(又は添付)する日付が14日の場合、「uUuUmEmEmEmE1315」(14×100−85)というパスワードになる。毎日自動的に変わり続けるのだから、特に今後のパスワードについて話し合う必要もない。暗号学の基礎だが非常に使える。
※3年前に取り決めて以来、一度もパスワードの字も出ないまま運用できている。

スパイ映画のように殴る蹴るの拷問を受けてつい喋ってしまったとしても、最大24時間で自動的にログインパスワードが変わるのだから(添付ファイルの場合は変わらない)、(?)は「相手に気づかれた013.gifと認識し、もうアクセスはしないだろう。

私が受けるのは主に食べる踊るの尋問だが。

ちなみにテキスト文書を暗号化したい場合は、PDFに暗号化オプションを付けて書き出すのがお手軽だ。
※これも同じくパスワードは電話などで伝えるか、自分も相手もメールの送受信がSSL環境であることが確実で、セキュリティ意識の高い相手なら(アンチウイルスやファイアウォール設定など)、そのままメールに書いて送って良いと思う。

/*
MacOSならファイル/プリント/PDF/セキュリティオプション/書類を開くときにパスワードを要求
そうするとパスワードを設定する画面になり、書類は暗号化される。受け手にパスワードを教える必要があるので、携帯電話同士の電話か携帯電話同士のメールで伝えよう。相手が海外ならgmail同士やiCloud同士のメールなどで。
*/



まとめ
企業側は、「我々は添付ファイルを暗号化し、パスワードは別便に分けて送った」と主張する。
何の意味もないことであっても「対策」したことにし、それ以降の情報漏洩は受信者側の問題だと責任を切り分けようとする。
別便は意味がないので、対策は何もしていないに等しい

受信者側は、「パスワードを平文で送ってくるなんて、なんて危険なことをするんだ」と主張する。
トンチンカンな指摘をして事を荒立てようとする。
パスワード自体を暗号化されて送られてきたらどうやって解読するんだろう。その暗号を解くためのパスワードはどうやって送るんだろう。

このようにどちらもインターネットの性質とはどこかズレている。

よって暗号化とは、自分と相手が同等レベルのセキュリティ知識、ネットワーク知識を持ち合わせていない限り、いずれか低い方のセキュリティレベルしか実現しない。電話通信のハンドシェイクに似ている。
それでも高いレベルの暗号化通信をするためには、どちらか一方が構築したセキュリティネットワークに入ってきてもらうしかない。※gmailやiCloudなどのことを指す。

結論

WEBメールやSNSサービスを利用する場合は、常にブラウザに鍵(南京錠)のマークがあることを確認し、
f0337316_12451644.png
POPやSMTPでメールを送受信する人はSSL接続であることを確認し、パスワードはインターネット接続用、Wi-Fi用、WEBメールログイン用、各種サービス用など、全て定期的に変更していれば、何も恐れることはない高水準な社会インフラが既に整っていると言える(日本においては)。

/*
この「高水準な社会インフラ」とは、日常生活において通称バカハブを見かけることがないという点から、古い機器は入れ換えられていっていると推測できる。例えば古い建物でも新しい「耐震基準」に合わせて建物を定期的に診断し、不適合ならば補強工事をするような。そういった日本の真面目さに起因する底の高さのことを指している。
※中古でハブを購入する際は
バカハブでないことを確認していただきたい。必ず「スイッチングハブ」を。
また大手WEBサービスのSSL導入率は極めて高く、一般的なインターネット利用における通信傍受の危険性は少ないかと思われる。
よって通信傍受よりも、パスワード管理と、Wi-Fi管理を気をつけてもらいたい。いずれも本人の人的ミスに起因するものだ。
*/

実際のところ、個人通信とはそのほとんどがSNSやメールなど個人的なメッセージばかりなので、リスクを冒してまでハッキングしようという人は希かと思われる。ハッキング技術とはセキュリティやネットワークを学んだ上で身につけるものなので、一般的なネットワークエンジニアと同等以上の知識を持ち合わせており「リスク」についても熟知している。よって起こりうるのは、彼・彼女、ストーカーによる覗き見(パスワード入力画面やメモなど)などから派生する不正アクセス(目的は覗き)など。一般社会と何ら変わらないアナログな世界だ。

寝てる間に彼・彼女の携帯電話を覗き見するのも、不正アクセスに手を染めるかもしれない兆候を示している。意外かもしれないが、少なくとも資質を持っている。
通常は技術や知識がないからその先に進めないだけで、もしできるなら「多分やるだろう」と感じた時点で、事の始まりだ。
セキュリティ(防犯)とは、この段階から構えが必要であり、俗に言う「プロファイリング」が重要視されるのはこういった理由から。
ただ覗いただけ」はダメ。男性が女性宅のベランダの前に立てば、何も触れてなくても「覗き」として扱われるし(女性から見れば十分な迷惑行為だから)、覗くためにパスワードが必要だと、そのパスワードを欲しい・知りたいと思う心が芽生えてきた時点で、脳内はアナログなクラッキング状態に陥っているのだから。

結局は人間関係ですな。

悪とは常に凡庸で、常に人間的なものだ。それは我々の寝床や食卓に潜んでいる。
W・H・オーデン (クリミナル・マインド FBI行動分析課 シーズン1より)

次回は「スニファリングや通信傍受はどこから違法でどこまで合法なのか」(通信セキュリティ完結編)という点について書いているチャーリーであります。

もしご興味のある方向け、「斜め読みで1日あれば十分」セット。
メールの送受信を暗号化するPOP3s/IMAP4s/SMTPs(over SSL)とは
http://www.atmarkit.co.jp/fwin2k/win2ktips/973mailovssl/mailovssl.html

5分で絶対に分かるVPN (1/6)
http://www.atmarkit.co.jp/ait/articles/0204/27/news003.html

PGPでメールを暗号化する - ITmedia
http://www.itmedia.co.jp/help/howto/security/04/02.html

スイッチの種類と機能 - IT
http://www.atmarkit.co.jp/fpc/special/lan_selection/hubselection01.html

公開鍵暗号方式[前編]----利用するためのルール
http://itpro.nikkeibp.co.jp/article/COLUMN/20060607/240201/?ST=selfup

外部からのポートスキャンサービスを利用する
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/006portscan.html

SFTPを使った安全なファイル転送 (1/2) - ITmedia
http://www.itmedia.co.jp/enterprise/articles/0706/06/news010.html

※古い記事が多いが、いずれの内容も現在有効系だ。

以下、意外にも(失礼ながら)内閣サイバーセキュリティセンターも、暗号化した添付ファイルのパスワードを電子メールで送信しないように(電話などで伝達)と庁舎内で定めていたので、ご参考までに資料を追加した。2015/05/23

庁舎内におけるクライアントPC利用手順 電子メール編 雛形
http://www.nisc.go.jp/active/general/pdf/dm5-02-061_sample.pdf
※18ページ

「ISMSの範囲外だからルール外」は良くありません
http://www.iso27001.jp/blog/security/2668/

Photographer&Engineer: Charlie

Homepage
Facebook
Twitter
Instagram
ルチアーノショーで働くスタッフのブログ
専属カメラマン☆チャーリーの寄稿ブログ(過去ログ)
専属カメラマン★チャーリーの部屋(過去ログ)

ルチアーノショー
TEL : 03-3531-4851

by charlie-ls | 2015-05-14 10:25 | 【赤坂】ルチアーノショー寄稿ブログ | Comments(0)

カメラマン☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30