8月2日放映の「半沢直樹 3話」のITセキュリティがネットで突っ込み多発だが、IT最新セキュリティの観点から作品を擁護したい。
パスワード誤入力3回アウトなのにブルート・フォース・アタック?
「パスワードを3回間違えたらアウト」のセリフの直後で、ブルート・フォース・アタック(辞書攻撃などの総当たり攻撃、つまり大量のパスワード入力試行)できてるのがおかしい、との指摘がある。
セキュリティの高いシステムではパスワード誤入力の回数制限と超過時のロックなどは基本だ(銀行ATMとか)。ブルートは乱暴との意味で「ポパイ」のブルートが有名だ(世代がばれる)。
しかし最近の多くの金融機関は不正検知システムを併用しており、パスワード入力速度など入力者の振る舞いパターンをAI分析して、本人/別人/ツールなどの判別が高確率で可能だ。
そこで「人間による入力は本来ルールで3回ロックさせるが、ツールによる入力は専門家によるものなので本来ルールを回避してツールからのアタックは許容する」とのセキュリティ・ポリシーを持つ企業ならば、説明もつくし問題ない。
バックドアを後から仕込む?
瀬名洋介(尾上松也)が「これからセントラル証券のクラウドにバックドア仕込むよ!」と言う。
バックドアは通常、製造元が事前にこっそり仕込む「裏口」なので、侵入直前の操作をバックドアとは呼ばないし、バックドアを含む製品は不良品との批判がある。
しかしバックドアは悪意の他に管理者の緊急対応用(障害対応、法令上の犯罪調査など)もありうる。アメリカで司法当局のパスワード突破命令をアップルが拒否したのも、仮に最初から方法が存在して秘匿中なら広義のバックドアといえるだろう。
また単に一時的に設定を緩くしては他者の侵入も容易になるため、まずは自分だけ入れるバックドアをリアルタイムで(恐らくオンメモリの稼働中プロセスにパッチを当てて)仕込み、その後にバックドア経由で「安全に」侵入したと考えられる。
つまり瀬名は顧客ユーザーの安全を確保しながら侵入したと推測でき、さすがである。
半沢のパスワードが脆弱すぎ!
半沢のセリフ「英文字6文字のパスワードは”ZANSIN”(斬新)です!」に、いまどきアルファベットのみ6桁は甘すぎとの声が。
確かに従来は辞書攻撃対策で「j@Y#8s」など推測困難な大文字・小文字・数字・記号の混在が推奨されていた。
しかし2017年にアメリカ政府機関NISTが「複雑で覚えにくいパスワードの定期変更は、本人がメモを残したり変更パターンを作ってしまい却って危険なので、逆に覚えやすい一般用語が推奨」とし、日本の総務省も方向転換し、対応済のシステムも存在する。
"ZANSIN" は覚えやすい一般用語なので問題無い。
なお更にはハッカーの裏を書いて古典的な "PASSWORD" や、更に一部記号/数字化を加えた "P@SSW0RD" なら更に最強といえる。
(注)全て冗談です 念のため m(__)m
(追記)蛇足ですが念のため (^^;)
- 不正検知システムは通常パスワードポリシーと連動させないし、仮にしても強化すべきで、プロの攻撃を許容では真逆。
- バックドアは、もし無理やり弁護したらの話。
- NIST推奨は「一般用語の組み合わせでも良いので桁数増加」がメイン。
(了)