出題範囲は第11回〜第19回
……それでは講義を始める。
前回は「架空世界の敵味方識別」と称して「ジョジョの奇妙な冒険」を取り上げた。……ちょっとこじつけに苦しい部分があったような気もしないでもないが、いかがだっただろうか?
今回は恒例の定期考査と称して、これまでの講義の復習を行う。出題範囲は第11回から第19回だ。この連載を途中から受講してくれている諸君も多いだろう。これを機に以前の回を読んで復習などしてみてはいかがだろうか。
前回の定期考査は「架空世界で認証知識テスト」と称して認証の基礎知識を問う問題を多く出題した。
対して今回は「架空世界のセキュリティ診断」と称して、認証の応用知識を問う問題を出題していきたい。
さて、準備は良いだろうか? まずは第12回「政府機関によるハッキング【24 -TWENTY FOUR-】」から出題だ。
キムのiBook内に保存されたメールを読んだ方法は?
「24 -TWENTY FOUR-」ファーストシーズン第1話より。
娘のキンバリー(キム)が夜遊びに行っていることを心配するジャック・バウアーは、キムがどこへ行ったのかを探そうとする。
どうやら遊び友達とメールで連絡を取り合ったようなのだが、そのメールを受信したiBookにはパスワードがかけられており、読むことができない。
さて、秘密情報機関「CTU (Counter Terrorist Unit:テロ対策ユニット)」という特殊な職場で、捜査官として勤めているジャックだからこそできた、メールを読んだ方法とは、次のうちどれだろう?
【1】自宅にいる妻にiBookの分解方法を指示した
【2】CTU職員に電話回線経由でiBookのハッキングを指示した
【3】アップルコンピュータ社(現在のApple社)に連絡をし、バックドア(裏口)コードを入手した
正解は【2】だ。
時代背景はあるものの、政府機関がその気になれば自宅のPCをハッキングし、メールを読むなど造作もないというのはちょっと怖い話だろう。
ちなみに【1】の分解方法を指示しても中のメールが読めるわけではないし、【3】もおそらくアップルコンピュータ社から拒否されるだろう。
ちなみにこの第12回でも述べたが、現代でも電子メールの内容は基本的には暗号化されていない。政府機関でなくとも誰かが傍受している可能性はあるのだ。公衆Wi-Fiなどでのメールの送受信には十分気をつけること!
定期的に暗号コードの変わる仕組みとは?
続いて第13回「フォースで認証を突破できるか?【スター・ウォーズ】」からの出題。
レジスタンスは劣勢を打開すべく、追跡装置の探知機のあるメガ・スター・デストロイヤーに侵入して電源を一時的にオフにしようと企む。
しかしメガ・スター・デストロイヤーの全面を覆っている防衛シールドの管制用コードは、一時間ごとに変更される。
さて、ここで問題。第13回では図版で説明したが、こうした時間で変化するパスワードのことを、現実世界ではなんというだろうか?
【1】Challenge and Response Authentication
【2】Star Wars Password Protocol
【3】Time-based One-Time Password
正解は【3】だ。
TOTPなどとも略される。
オンラインゲームをプレイしている人や、オンラインバンキングを利用している人にはおなじみなのではないだろうか。キーホルダーや電卓のような「ハードウェアトークン」に刻々と変わる番号が表示され、それを入力する仕組みだ。
最近ではスマホアプリ上に番号を表示する「ソフトウェアトークン」もあり、色々なポータルサイトや各種SNSサービスにも拡大してきている。
パスワードと組み合わせることで安全性がグッと増すので利用できるなら是非利用したいところだ。
ちなみに【1】は認証の内部の仕組みについての用語で、パスワードをそのままではなく、なんらかの法則で変換したものを送信するための仕組みである。
【2】は筆者が適当に作った言葉である。スター・ウォーズ関連の言葉なのではないかと思って引っかかった諸君は、もう一度復習してくるように!
非常に長いパスワードを覚えるコツとは?
次は第14回「オンラインVRゲームにおける認証【アヴァロン】」からの出題。
主人公のアッシュが自宅の端末でメールをチェックする時に、相当長いパスワードを入力しているのだ。しかもスラスラと入力しているところをみると慣れているのだろう。
さて、ここで問題。こうした相当に長いパスワードのことを特になんというだろう?
【1】パスフレーズ
【2】ストロングパスワード
【3】リート
正解は【1】だ。
一般に50〜100文字程度のものをパスフレーズと呼ぶ。覚え方に詩の一節や好きな小説のフレーズなどを使うと良いという話は第14回で解説しているので確認してほしい。
【2】は筆者が適当に作った用語だ。
【3】も第14回にちょっと登場した用語で、例えば「for」を「4」、「to」を「2」と読みに準じて略したり、「E」を「3」、「L」を「1」と似た形の数字に置き換えたりして表記する方法のこと。
ちなみに普通のパスワードにリート表現を使おうと考える人が出てくるかもしれないが、それは実に浅はかな考えだ!ハッカーは当然リート表現に対応した総当たり辞書を持っている。
パスフレーズのように非常に長い文字列の一部に混ぜるならともかく、8〜16文字程度のパスワードではリート表現を使っても安全性は上がらない。十分注意すること。
掌紋認証の弱点は?
今度は第17回「現代的スパイと認証の嗜み【キングスマン】」からの出題。
キングスマンの世界では掌紋認証がメジャーである。ただし、この掌紋認証には、指紋認証などと違って一つ弱点があると筆者は指摘した。さて、それはなんだっただろうか?
【1】手が冷えていると認識率が下がる
【2】成長や加齢により形が変わり、認識率が下がる
【3】爪にネイルアートをしたり、マニキュアを塗ったりしていると認識率が下がる
正解は【2】だ。
掌紋認証は指紋認証と違い、成長や加齢により形状が変わってきて認識率が低下するという特徴がある。つまり、定期的に更新しなくてはならないのだ。
ただし、物理的に有効期限を設けられるということがメリットになる場合もある。特にセキュリティを重視する秘密基地の扉などでは有効となるだろう。
ちなみに【1】も【3】も全くそういうことはないので安心してほしい。
総当たりが有効になる条件とは?
最後は第19回「架空世界の敵味方識別【ジョジョの奇妙な冒険】」からの出題。
虹村億泰がジョセフ・ジョースターを守った場面の話だ。
億泰はレッド・ホット・チリ・ペッパーの本体である音石明を見事見つけ出し、パンチを繰り出しノックアウトした。ただ、これは偶然であり、目の前にいるスピードワゴン財団の人間を全員ぶん殴るという「総当たり攻撃」を仕掛けるつもりだったのだ。
さて、ここで問題。総当たり攻撃が容易に成立する条件とは、次のうちどれだろう?
【1】自分の勘は冴えているなッ! と思った時
【2】他の仲間と協力が取れる可能性がある場合
【3】対象が十分に少ない時
正解は【3】だ。
億泰の場合、目の前の2人のどちらかがレッド・ホット・チリ・ペッパーの本体であると確信が持てていたため、総当たりすればよかったわけだ。
パスワードも同様に、4桁の数字などのような少ない桁数、限られた文字種だと総当たり攻撃は成功しやすい。やはりパスワードは複雑で文字数を多くし、総当たり攻撃をしにくい環境にしておくべきだ。
ちなみに【1】と【2】は筆者が適当に考えた。これに引っかかった諸君、やれやれだぜ。
次回は近未来の「ウェアラブルデバイス」について
問題はこれで終了だ。いかがだっただろうか? 過去の連載を注意深く読んでいれば答えられる問題ばかりだっただろう。間違えてしまった問題がある諸君は、もう一度読み返して確認してみるといいだろう。
今回は架空世界の話から、より現実世界のセキュリティに近い話になっていると思う。架空世界にも学ぶべきところは多いのだ。
諸君もアニメやマンガを読む際には、こういう視点を大切にしてほしい。
さて次回だが、近未来のウェアラブルデバイスが登場する作品として「プリンセスコネクト!」と続編「プリンセスコネクト!Re:Dive」を取り上げる。
……多分現在サービスされている「Re:Dive」をプレイしている諸君には「ウェアラブルデバイスなんか出てきたっけ?」となっている者も多いと思うが、これには深い理由があるのだ。楽しみにしていてほしい。
それでは本日の講義はここまで!
【著者プロフィール】
朽木 海(フリーライター、編集者)
主にITとゲームのあれこれを請け負うライター。前職は某ゲーム会社でいろんなゲームを作ったり、公式Twitter担当をしたりしていました。現在勉強中のテーマはブロックチェーンとマストドン。忙しくしていたら、ドラクエXに1ヶ月以上ログインしてないことに気がつきました! ヤバい!
>前回記事:架空世界 認証セキュリティセミナー 第19回「架空世界の敵味方識別【ジョジョの奇妙な冒険】」
>「架空世界 認証セキュリティセミナー」記事一覧
>認証の基礎知識について:「認証」の基礎知識(1):日常にあふれる「認証」