RSAのSecureIDと呼ばれる小さな表示窓のついたモノは多くの企業で使われていて、システムにログオンする際に使うワンタイムパスワードを生成するわけです。生成ロジック自体が企業秘密であるわけですが、こいつを盗まれて解析されたらチョイと面倒な事になるのは何となく判る気がします。もちろんそれを実際にやるかどうかってのは別の話なんですが、それを本気でやったらしいというのが例えば先日のロッキード･マーチン社のシステムへの不正アクセス。

もちろんそれほど簡単だとは思いませんが、やっちゃえば出来ちゃったらしい、という訳です。

GPUを使うとパスワード解析が快適！なんて話がメディアに載るくらいな状況

いわゆるCPUではなく本来グラフィック処理のために開発されてきていたGPUが気が付いたらスーパーコンピューターを安価に製作するための重要なパーツとなってきてるのは既に知られた話ですが、問題はそうやって作られた高速なプロセッサーを持ったシステムの使い方。もちろん誰がどんな用途でコンピューター・システムを使うかってのはいろいろな訳ですが、たとえばそういうシステムを使えばパスワードクラックに何十年の単位でかかるはずなのが数分で出来てしまったとか、そういうニュースをチラチラと目にするようになりました。

それはやるほうが悪い？

いや、クラックされるほうが悪いです。間違いなく。だって、クラックするほうは意図があってやってる訳で、そこに倫理を求めちゃいけないはずです。そんな状況があるというのを大前提とするべきじゃないかと思うんです。

対策は万全だぜと高を括ってはいけないという状況

たとえばPCとセキュリティートークンを一緒に持って行かれたらもうどうしようもありません。ということで基本的には別に持って歩きましょうという指導がされるわけですが、色んな方法とタイミングで両方を手に入れることが無いとは言えません。ネットワークのトレースも暗号化されていると解析が大変な訳ですが、それこそ前述の「お安いスーパーコンピューター」的なモノを使えば以前よりは遥かに楽に出来る可能性があります。

じゃぁどんな意図があるのか？その人なり何なりにしか判らない話なので推測してもあまり意味がありませんが、別に誰に恨みを買うわけじゃなしとか、セキュリティ対策は万全だぜと大きく構えるかもそれぞれ。でも、明確な意図と、十分な知識と、必要なシステムがあればクラッキングは出来てしまうという事を常に念頭に置いておかないと、いざと言うときに慌てる事になるのは色んな例から見ても言えることじゃないでしょうか。

で、ここで国家安全保障にまで及ぶ不正アクセスの話

少し前に、米国のロッキード･マーチン社のネットワークへの不正アクセスがあったという報道があり、続報も流れています。この入り口となったのがRSAのSecureIDを使ったアクセスコントロールの仕組みであるという話は比較的早い段階から流れていました。因みに現在もRSA社自身はそこで何が起きていたかについて詳細を明らかにしてはいませんが、全世界のユーザーのSecureIDを基本的に無償交換するという話にもなっている事からすると、パスワード生成ロジックに関する何かを解析されたと考えるのがひとつの流れじゃないかと思えます。

因みに、ロッキード･マーチン社は歴史的に航空機や兵器に関わる企業が幾つも合併して成立した企業で、アメリカの安全保障に関わる国家機密に直接関係しています。有名なところだと嘗てロッキード事件のときのトライスターという旅客機や迎撃ミサイルのパトリオットあたりは旧ロッキード社の製品ですし、航空自衛隊のF-2支援戦闘機は三菱重工との共同開発ですし、現在開発中のF-35は正にロッキード･マーチンの手によるもの。ということで、ここのシステムへの不正アクセスは国家に対するサイバーテロの一環と見なすという話も出るという、実は非常に深刻な話です。

【NewsBrief】ハッカーがＲＳＡから盗んだデータを攻撃に使用＝社長 - WSJ日本版 - jp.WSJ.com via kwout

ここでの問題は、どうも何らかの形で盗まれたとされるRSAのSecureIDが関与している可能性があるというところ。そう。ロジックの素晴らしさやシステムとしての頑強さは結局のところ物理的に手元に渡ったブツの解析には勝てないという所。不正アクセスをした人なり何なりの背景や組織的な話なのかどうかについては未だ不明とされていますが、少なくとも国家安全保障に対する挑戦というレベルにまで達している非常に大きなアラートを出してしまった事例と言えると思います。

でも、それはそんな企業を相手にした話だからってことじゃないの？という「私は多分そんな目に遭わない」論の恐さ

実際のところロジックの解析がされたとすれば、その情報自体が商品価値を持つことを忘れてはいけません。単純にそれが世界中での不正アクセスを生む事になるとも思えませんが、同時に盗まれないためには本当にどう管理してゆけばよいのか、システム設計として何を考慮しなおさなくてはいけないか、それらはキチンと不正アクセスに対する自衛手段として機能するのかといった基本的なところをもう一度考え直す契機となるんじゃないかと思います。

情報セキュリティの専門家ではない私が言うのも何ですが、危機管理という大きなくくりの中で何をどう考えるかと言う部分は常に繰り返し考え続けないといけないんじゃないのかな、と思います。それこそ災害時にどうしようもなくて放棄した事業所にある情報機材やら何やらは何らかの意図を持った人にとっては宝の山、という考え方もできるんですから。

でもね、うちの組織はそんな目には遭わないように対策してるし、バックアップは完璧だし、そんな目に遭うほど大したことやってないし、きっと遭わないし、大丈夫だから・・・　いや、そうであれば良いとは思います。本当にそうなら。