架空世界でもある「推測されやすいパスワード」

……それでは講義を始める。
まずは前回のおさらいからだ。現実では未だ実現していない認証として、「新世紀エヴァンゲリオン」の「精神感応認証」、「勇者ライディーン」の「血筋認証」を紹介し、「アーサー王伝説」の剣を抜いた力はどのような認証だったのか考察を行った。

>「架空世界 認証セキュリティセミナー」記事一覧

さて、第4回までは認証の手法と実現例を紹介してきたが、架空世界でもパスワードを見破られ、認証を突破されたりするような事例はなかったのだろうか。いわば「認証システムのパスワードハッキング」であるが、調べてみたところいくつかあるようだ。今回はそうした事例を紹介していこうと思う。
最初の事例は「推測されやすいパスワード」。取り上げる架空世界は「機動警察パトレイバー the Movie」だ。

「いざ我ら降り かしこにて彼等の言葉を乱し 互に言葉を通ずることを得ざらしめん」

まずは基本データから。「機動警察パトレイバー」は1988年より始まったメディアミックスプロジェクトで、週刊少年サンデー連載のマンガに加え、OVA(オリジナルビデオアニメーション)、テレビアニメ、劇場版アニメ作品など、様々な展開をした作品群である。
原作は「ヘッドギア」というグループで、メンバーは漫画家・ゆうきまさみ、メカニックデザイン・出渕裕、キャラクターデザイン・高田明美、脚本・伊藤和典、そして監督・押井守という豪華な布陣である。
作品が始まった1988年から約10年後の近未来、地球温暖化による海面上昇で東京が沈む危機に対抗するため、東京湾を埋め立てる「バビロンプロジェクト」を断行。そのために汎用多足歩行作業機械「レイバー」が多数投入されている。
しかし、レイバーを使った犯罪も急増。そのため警視庁警備部特殊車両2課、通称「パトロールレイバー中隊」が結成され、レイバーを使った犯罪に対抗することになった……というのが大まかなストーリーだ。マンガ、OVA、テレビ、劇場版で細かな違いはあるが、この部分は共通である。
リアルロボットものとしては「警察による運用」や「街中でのロボット運用の諸問題」などにもスポットを当てており、そのドラマ性はのちに本広克行監督の「踊る大捜査線」に影響を与えている。
さて、本題に移ろう。相次ぐレイバーの無人暴走事件。共通していたのは全てのレイバーに新型OS「HOS」が搭載されているということだった。「HOS」を開発した篠原重工のマシンルームに潜入する特車2課の「篠原遊馬」。「HOS」のマスターコピーを見つけ、パスワードに開発者「帆場暎一」の名前「E.HOBA」と当てずっぽうで入力する。すると、旧約聖書の一節「Go to, let us go down, and there confound their language, that they may not understand one another’s speech.(いざ我ら降り かしこにて彼等の言葉を乱し 互に言葉を通ずることを得ざらしめん)」との表示とともに、接続されている全てのコンピュータが暴走を始める……。全ての画面に赤字で「BABEL」と表示されるシーンは衝撃的だった。
帆場からすれば、このパスワードが露見するのは想定内だったのではないだろうか?パスワードに自分の名前を設定すること自体が「推測されやすいパスワード」なため、もしかすると帆場からするとこの警察側の動き自体も推測されたものだったのではないだろうか、と筆者は想像してしまう。
余談だが、この劇場版が公開されたのは1989年。まだインターネットも普及していなかった頃の話だ。その時代に、OSにトロイの木馬が仕掛けられているというストーリーを描いたのものも、パトレイバーの先進性を表している。
「機動警察パトレイバー the Movie」はhuluバンダイチャンネルで見放題になっているので、気になった方はチェックをオススメする。

パスコードは誕生日。ただし、誰の?

次のパスワードハッキングの事例も「推測されやすいパスワード」だが、より身近な「スマートフォンのパスコード」についてだ。
紹介する架空世界は、細田守監督作品の「サマーウォーズ」。2017年の夏にも、地上波で放送されたのでご覧になった方も多いのではないだろうか?
基本データから紹介しよう。2009年8月に劇場公開されたオリジナルアニメーションで、長野県上田市が舞台。高校2年生の「小磯健二」が、憧れの先輩「篠原夏希」にバイトに誘われるが、その内容は……?未見の方もいると思うので、詳細なストーリーについては控えさせていただこうか。
今回取り上げるのは健二が解いてしまった数学上の難問の方ではなく、夏希がある人物のスマートフォンのパスコードを当てたシーンについてだ。以下、若干のネタバレを含むのでご注意あれ。
夏希の憧れの叔父、侘助が騒動の発端だったことがわかり、落胆する夏希。祖母の栄に追い出され、あちこちをフラフラしている侘助にどうにかして連絡を取りたい夏希だが、誰も連絡先を知らない。手元にあるのは侘助の忘れ物のiPhoneだけ。コードのヒントは「birthday(誕生日)」とある。ここから夏希は、侘助が慕っていた栄の誕生日だと気がつき、パスコードを解除。侘助と連絡を取るのである。
ちなみに栄の誕生日は8月1日なのだが、パスコードは0108。1st, Augustとヨーロッパ式の並びになっていた。そこまで見破る夏希は大したものである。
実際に自分の誕生日をパスコードに設定している人もいるかもしれないが、誕生日を知っている人には最初に試される番号だろう。しかも侘助の場合は栄の誕生日という若干想像しにくいものだったにも関わらず、ちょっとした機転で破られているわけで、誕生日関係をパスコードに設定するのは危険だということがわかるだろう。ちなみに4桁のパスコードは1万通りの組み合わせが存在するが、誕生日だけに絞ると366通り(うるう年もあるため)。侘助のように逆順にするパターンを含めても588通りにしかならない。しかも誕生日ならどこかで入手する手段もあるわけで、セキュリティ的にはとてもお勧めできないと言えよう。

時間さえあれば力づくで破れる―ブルートフォースアタックの例

では複雑なら良いのかというと、そうとも言えなかったりする。次に紹介するのはパスワードだけではないハッキング事例。前回紹介した「新世紀エヴァンゲリオン」TVシリーズの1エピソードだ。
第拾参話「使徒、侵入」。ネルフ本部に侵入した微生物状の使徒「イロウル」が、ネルフ本部のコンピュータ「MAGI」にハッキングを仕掛ける。その方法は「パスワード総当たり」で、処理速度に任せた力づくのやり方だ。セキュリティ業界用語では「ブルートフォースアタック」と呼ばれている。
最終的に赤木リツコ博士がMAGIのCPU速度を大幅に下げて時間を稼ぎ、その間に「イロウル」への逆ハックを仕掛けるプログラムを開発。「イロウル」はそのプログラムを受けて自滅する……といったストーリーだ。この話はエヴァンゲリオンがほとんどでてこないということでも話題になった。
このエピソードから分かる通り、いくら複雑なセキュリティを設けていても、力づくで破ることも可能であるということだ。
複雑なパスワードも所詮は文字の連なりに過ぎない。長くすることで総当たりする時間は稼げるが、逆に人間が覚える負担となる。なので、高いセキュリティを必要とする認証には、「ある程度複雑な知識情報」と「所有物や生体情報といった別の要素」という複数の認証方式を組み合わせることが有力な対策となっている。

失敗を教訓に自身もセキュリティ対策を

いかがだっただろうか。架空世界でも認証を突破される事例は報告されている。しかも、どれも現代の我々にも適用されるような話ばかりだった。
単純なパスワード、特に名前や誕生日などの公開情報は避け、なるべく複数の認証方式を組み合わせて守るようにしていきたい。複数の認証方式を組み合わせる多要素認証を用いた架空世界については今後紹介していければと考えている。
また、「せぐなべ」の「パスクリ通信」や、各種レビューを読んで理解を深めておくのも良いだろう。
特にこの記事によると、総当たり攻撃に対する時間稼ぎを前提に考えると、「英字・数字・記号を組み合わせたパスワード」よりも「英字のみのとにかく長いパスワード」のほうが有効という報告が掲載されているので参考にしてほしい。

さて、次回は一つの架空世界に絞って、どんな認証が出てくるのかを調べてみたいと思う。お楽しみに。では本日はここまで!

【著者プロフィール】

朽木 海(フリーライター、編集者)
主にITとゲームのあれこれを請け負うライター。前職は某ゲーム会社でいろんなゲームを作ったり、公式Twitter担当をしたりしていました。現在勉強中のテーマはブロックチェーンとマストドン。NewみんなのGOLFが発売されたので、しばらくはゴルフ三昧です。

>前回記事:第4回「架空世界の血筋認証」
>「架空世界 認証セキュリティセミナー」記事一覧
>認証の基礎知識について:「認証」の基礎知識(1):日常にあふれる「認証」