  |
はてなキーワード: パスワードとは
株式会社ディスクユニオンは29日、70万件以上の顧客情報が漏洩したと発表した。SNS界隈では前日28日からダークウェブへの流出が確実視(スクショあり)されていたが、夜が明けてからようやく重い腰を上げて公表に踏み切った。
以下に続く散文は、ユニオンを愛する者の率直な心境と受け止めていただきたい。
※6/30夕刻追記:
昨日のニュースを見た勢いで書きなぐった時は、自分自身の心のモヤモヤを吐き出すことがこのダイアリーの主目的であり、少しトーンが過剰な部分などもあったなと、今あらためて読み直し反省しています。
少しだけ、言葉足らずだった部分を加筆などしておりますが、ご容赦ください。
・パスワードの平文保存
こんなご時世だ。悪意のある行為で情報が流出してしまうリスクはどんな業種であっても否めない。ただ、今回最悪だったのはDBがテーブルごとぶっこ抜かれ、あげくパスワードを平文で持っていたということだ。暗号化処理せずにパスワードを保管するというのは愚の骨頂であり、ここに小売業としての前時代的な姿勢がはっきりと見えてしまった。通販事業は決して120%アウトソーシングしているわけではなく、社内にはフロントエンド/バックエンドを担当する社員もいるはず。ゆえに、なぜ?という思いが強い。偉い人たちは何が悪いのか理解できてなさそうだけど。
・第一報の遅れ
>6月24日の漏えい懸念から本日のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
>本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにまずはお詫び申し上げたい思いでしたが、不確定な情報の公開はいたずらに混乱を招き、
>お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、情報の収集と把握に時間を要しました。
>本日の公表までお時間を要しましたこと、重ねてお詫び申し上げます。引用元=https://diskunion.net/
違うんだよ。お客様へのご迷惑、は流出した瞬間から実際に目に見えるかたちで起こってしまった。SNSでは公式発表に先駆けて、「何が、何件、どんな風に」漏れたのか、情報が拡散されまくった。一方でユニオンは、早々にオンラインショップ(ここにはコーポレートページも含まれる)をクローズし、「緊急メンテ」という名の殻に閉じこもった。もし、SNSで話題になることがなければ、本当に7月4日までダンマリを決め込んでいたかもしれない。結果的に29日の発表では有効な対応策を提示できず、公式アナウンスの遅れだけがネガティブに目立ってしまった。少しずつでも、情けなくても、スピード勝負に出るのが最善だったと私は思う。
「いやいや、でもそんなすぐに公表するのは現実的に無理」と考える人もいるだろう。だが、2022年4月1日に施行日を迎えた改正個人情報保護法は、情報の漏洩時は本人に迅速に通知するなど、企業に個人の権益を保護する行動を強く求めている。
さらに、不正アクセスの痕跡など「漏洩の可能性がある個人データは、すべての該当者に通知する必要がある」と個人情報保護委員会は明言している。強調するが、漏洩の「可能性」が露見した時点でだ。そのタイミングで企業側には本人通知や事実公表のアクションが求められる。情報の収集と把握に時間をかけたというユニオンの初動は致命的な悪手であり、何よりコンプライアンス意識の希薄さを自ら明らかにしているようなもの。個人情報を取り扱う多くの企業が、この改正個人情報保護法への対応や関連規約のアップデートに追われていたのが今年の春前。ユニオンの準備はどうだったのだろうか。サイトが表示されない今となっては、確認する術がない。参考元=https://xtech.nikkei.com/atcl/nxt/column/18/02006/032800002/
現在もHPにはテンプレ通りのお詫び文と問い合わせフォームの連絡先しか掲載をしていない。会社概要、プライバシーポリシー、個人情報保護方針……何も表示されない。この重大なインシデントを起こしながら、なんとか目につく部分を隠して乗り切ろう、としているなら残念でしかない。
ディスクユニオンの公式Twitterは「@diskunion_news」のはずだ。異常なのは28日までスクリーンネームでキャンペーン情報を訴求し、投稿ではトートバッグやレコクリンをプッシュしていたことだ。これは店舗アカウントも同様で、粛々と普段と同じプロモーションをかけていた。しかし、29日になると公式も店舗もジャンルも、全て”喪中”かのごとく宣伝投稿を止めた。一斉にやめるくらいなら24日からやめるか、一人でも多くのユーザーに一刻も早くこの異常事態をアナウンスして周知してもよかったはず。悪さした小学生じゃないんだから、そこは意思を持った運用しようや。(※SmartFLASHの記事を読む限り、どうやら店舗が詳細を把握できたのは、ユーザー向けアナウンスと同一タイミングだったと認識するべきか。オンラインショップを緊急メンテに突入させた時点では、店舗に情報を下ろしていなかったという可能性が高そうだ。出典元=https://smart-flash.jp/sociopolitics/189040)
ここで、対応失策の遠因とも言えるユニオンの体制について考えたい。
ユニオンは中古品と新品を同時に取扱い、レア盤や特典商法、マニアックな品揃えで知られる。また、パッケージの復刻企画や自社制作も行っている。このバランスがあるからこそ、ユーザーに支持され、(たいしたイニシャル数をオーダーできないが)アーティストやレーベルからも好意的な反応を得てきた。ただの中古屋(●ックオフとか)をアーティストがリスペクトしますか?って話。しかし、この土台は大きく揺らいでおり、今となっては綱渡り状態に突入している。
約10年前、社長と専務に次ぐ人物がユニオンを去ると、ここから誰の目にも明らかな権力闘争が巻き起こった。中古を扱い粗利を稼ぐ「店舗」の人間と、新品仕入れや制作を担い音楽業界の”今”とユニオンをつなぐ「本部」の人間。詳細は割愛するが、結果として本流になったのは店舗側だった。そして、多くの名物社員や気概のあるスタッフ、何よりビジネスマインドを持ち良い意味で「サラリーマン」的だったキーパーソンが本部を離れた。退職した者の一部は、当時レコードビジネスに本腰を入れたHMVや、その後はタワーレコードにもジョインした。通販部門もECのプロフェッショナルではなく、いきあたりばったりの采配という感は否めない。
※追記1:組織/企業である以上、異動があることや、俗に言う「役職」につけるスタッフの数に限りがあることは当然であり、そこはユニオンも同じです。成績や年次やらが絡みますよね。“権力闘争”というワードを初稿で選んでしまった点について、書き手の私情が強めに入っていると言われれば、否定できません。違う表現を選ぶとすれば、組織内での大きなうねり・転換期がこの当時にあったということです。
※追記2:店舗=中古、本部=新品、という基本線はそのとおりですが、常に両者が喧嘩腰だったわけではないと念のため補足させてください。同じ音楽ソフトであっても性質が異なるこの2種が相互補完することで、ユニオンというブランドがここまで支持されてきた/事業として動いてきた、のは間違いありません。前述のうねりの中でこのバランスが以前と異なるかたちに変化した、ということです。
この頃からユニオンの新品仕入れ額は落ち込んでいるはず。音楽業界を支え、アーティストとレーベルが活躍できる土壌を小売として成熟させるには、新品を仕入れ、販売しないことには難しい。なにより、新品を仕入れて販売することで、その盤が今後中古市場に出回る可能性が生まれ、結果として中古市場の下支えにもなる。すでに中古市場に出ているレア盤を高額買取→高額販売してぶん回したところで、そこに未来はない。また、音楽業界という立場で考えれば、中古がいくら売れたところで、アーティストには1円も入らない。
さらに数年が経つと、結果として上層部は社長(※ファミリー経営2代目)と一部社員(※店舗叩き上げ)の集団になっていった。外部からの血も入れず、利益は上がるが、社員の給料は上がらない。レコードブームだから、とりあえず店は出して中古で埋める。廃盤セール(※ただし廃盤が安くなるわけではない)でいつものあの人に来てもらう……ここ数年、ユニオンの店先や棚から「勝負してんな、攻めてんな」という熱量を感じなくなったのは自分だけだろうか。ユニオンの器が小さくなったと感じるのは自分だけだろうか。
もちろん、一流の店舗スタッフが多数在籍していることも声を大にして伝えたい。決して中古推しがどうのこうの、いや新品推しがどうのこうの、という話ではないのだ。昨今のレコードブームの裏で、戦略と組織設計のバランスが崩れ、あるべき姿から逸脱し続けているというのが問題なんだと強調させていただく。青臭い思いかもしれないが、ユニオンが過去から現在まで、何を紡いできたのかということだ。
※追記3:組織/企業である以上、利益を確保することは当然です。そこは否定しません。ただし、私が知っているユニオンはそれだけじゃない要素が売り場に宿っていたと、抽象的な表現ですが感じていた次第です。じゃなかったら、あんなに店舗に通わないはずです。しかも狭い店舗に。
遡ればユニオンの創業は戦前。そこからなんとか今日までサバイブしてきたわけだから、そんじょそこらの会社とは良くも悪くも一味違う。ただそれは、ユーザーの知的好奇心を満たすため、中古品、新品、制作、流通、委託販売、アーティストマネージメント、販促、オーディオなど、様々な分野で試行錯誤を続けてきたからだ。もちろん中には失敗もある。オークション事業やイベントスペースなど、黒歴史になっているものもある。それでも「ユーザーにとって面白いことをやる」、そして「ユーザーを囲い込む」ことでユニオン経済圏を確立してきた。事業の中心にはいつもユーザー目線があった。
ただ、利益追求に舵を大きく切ったここ数年、そして今回の漏洩騒動での対応を見ると、どこか古き良きユニオンはもう幻となってしまったとすら思えてくる。
どんなに給料が安くても(陳腐な言葉だが)音楽とユニオンが好きだから支えてきたアルバイトや若手社員はどう思うだろうか。今回の初動対応をとった会社に、今後もついていく気が起きるのだろうか。そして後手後手の対応をとられたユーザーは果たして本当にまた戻ってくるのか。
ユニオンがしっかりとこの問題と向き合い、そしてもう一度適材適所の布陣で挑戦を始めるときが訪れれば、私はまた店頭に足を運びたいと思う(通販はしっかり対策して、原因と改善策明示してね。それからだ)。ずっと探していた中古の名盤と、今という時代の空気感をしっかりと伝えてくれる新譜を同時に手に取ることができる場所は、世界的にも希少になりつつあるわけだから。
最後に、HPのキャッシュから拾ってきたユニオン商い五訓を貼っておきたい。
ユニオン商い五訓
2 損得より先に善悪を考えよう
3 お客様に有利な商いを続けよう
※追記4:今回の騒動と組織の顛末を並列で吐き出したのは、あくまで私の主観(=ずっと感じてきたこと)が入っています。そこは最後にハッキリと書き記します。ここも当然、人それぞれで受け止め方が変わります。お前、こんなにダラダラ書いておいて最後に逃げるなよと、私自身も思いますが。
ユニオンに求めること、期待することもまた人それぞれなはずです。中古レア盤しか興味がない、最近レコードデビューしたからお手軽盤欲しい、新譜の特典にやっぱつられる、紙ジャケBOX最高、色々あるはずですし、そういった需要に応えられるのがユニオンの店舗/通販であると信じています。
音楽のジャンル同様に、確かな多様性がある世界で我々は日々踏ん張っています。この駄文も、絶対の正義ではないです。そのために書いたワケではないです。ただ、こんな世界線もあるんだ、くらいの受け止め方の方が、息もしやすいと思います。
反響に驚いてしまい、こんな当たり前のことを追記してしまいましたが、私はユニオンにもう少しだけ、期待してみようと思っています。
(了)
何年か前に「あなたのIDとパスワードを手に入れました」的なメールが来て、どこぞのサイトがパスワードを平文で保存していたらしく、確かに自分が使っているIDとパスワードのひとつだった。
ただ、IDは他のいくつかのサイトでも使っているがパスワードはサイト毎に変えているので放っておいた。
それが、最近になって複数のサイトから覚えのないログイン通知が来たので確認したところ、確かに不正ログインされたようであった。
サイト毎にパスワードを変えていたと書いたが、内容が「固定文字列+そのサイトの略称」というものだったので、今までは流出したパスワードをそのまま入力するだけだったクラッキング用のプログラムが、サイトの略称と思われる文字列を置き換えるようになったのだと思われる。
同じ様な方法でパスワード管理をしていた人は注意していただきたい。
初期セットアップわからんとかソフトが動かなくなったとかデバイスを水没させたとかその辺の対応をするだけなら全然いいんだけど、何をするにも前提として「パスワードは何一つ覚えていない」って条件が付いてくると本当に無理ゲーになるから勘弁してほしいんだよ
こういう策略を弄してでも出頭してほしかったんだろうねえ
■副業って難しい
会社「業務必須のアプリがあって、パスワード教えるから来てください。20分程度で終わります。」
私「わかりました。では○○日にお伺いします」
※一応本業もあるので、zoom等のリモートではダメですか?と打診してみたが、パスワードのやりとりなので難しいと。
まあそれはそうなのかね。。と思って素直に行ってみたら、
今の仕事のスピード感についての話とか、今後どうしていくかなどの話(要するに説教ですよね)で1時間30分以上取られた上に、
え?なんなの?嘘じゃん。ipadわざわざ持って行ったのに一つも意味ないよね。
あまりにも腹が立ったので、これどう考えてもリモートでよかったですよね?と不満を伝えたが、
「こういうことは多々あるので、慣れてもらうしかない」という返事しか来なかった。
はい、辞めまーす。お疲れっした。
会社「業務必須のアプリがあって、パスワード教えるから来てください。20分程度で終わります。」
私「わかりました。では○○日にお伺いします」
※一応本業もあるので、zoom等のリモートではダメですか?と打診してみたが、パスワードのやりとりなので難しいと。
まあそれはそうなのかね。。と思って素直に行ってみたら、
今の仕事のスピード感についての話とか、今後どうしていくかなどの話(要するに説教ですよね)で1時間30分以上取られた上に、
え?なんなの?嘘じゃん。ipadわざわざ持って行ったのに一つも意味ないよね。
あまりにも腹が立ったので、これどう考えてもリモートでよかったですよね?と不満を伝えたが、
「こういうことは多々あるので、慣れてもらうしかない」という返事しか来なかった。
はい、辞めまーす。お疲れっした。
どうしてもやりたくないことができない。
・クレカ払いしたと思ってた支払いが後払いで請求書が届いたとき。どうしても嫌でめちゃくちゃギリギリまで払わずにいたらあやうくブラックリスト載りそうになった
・会社の半期の目標を書かされるやつ。どうしても嫌で嫌で嫌だったら上司に個室でがっつり叱られた。当たり前だけど
・会社の休職した人のタブレットの返却。パスワードがわからなくて、それを本人に聞くのがなんでか嫌で後回しにしてる。これまだ解決してなくてやばい
ほんとはもっとあるけど書くと自分の嫌なところを直視しなくちゃいけなくて、メンタル終わるので書かないでおく
人生で嫌なことをどうしてもやりたくなくて、それが自分にどれだけ不利益をもたらすかも何となくわかってるのにできなくて、ずっと詰んでる
どうしたらいい?カウンセリング受けようと思ってるんだが
本格インドカレー屋で父の誕生日祝いをする予定だったのだが、調理師の家でコロナが出たため営業を自粛することにしたそうだ。数日前にそんな電話が来た。残念だがしかたない。
ところで、ドタキャンになったお詫びに、営業を再開したら本来予約を受け付けていない昼でも、名前を言えば席を開けておいてくれるとのこと。次の機会を楽しみにしよう。ただ、家族の予定が合うのがいつになるかがわからない。
この日は妹とケーキを作り、NHKで古代ローマの特集をのんびりと眺め、桃鉄をやった。古代ローマの番組で特に面白かったのは、壁の厚さから建築物の高さが推測できるということだ。ところで、桃鉄は負けているゲームでいかに挽回するかがこのゲームの楽しみの一つである。
相手の体調が悪くてデートできなかったため、代わりに上野のポンペイ展に行く。ポンペイ展は何年も前にbunkamuraや森ビルでやっていたときに足を運んだが、今回はモザイク画に焦点が当たっている。ここで著名なアレクサンドロス大王のモザイクもポンペイのものだと初めて知った。ジョジョ5部で有名な猛犬注意のモザイク喪服性が床に展示されていた。
ここでは大学生くらいの女性二人連れが、柱に顔と陰茎だけをつけた彫刻を見つけて楽しそうにしていた。いわゆるギリシアのヘルメス柱像なので、宗教的な意味を持つ由緒あるものなのだが、さらし者にしか見えないと笑っていた。女性といえば、当時の女性の地位についての説明も十年前と比べて増えてきた。
他にもやたらと痛そうな産婦人科の医療器具や瑪瑙の指輪もあったが、当時の加工技術の高さがよくわかる。
そうそう、美術館に行く前に、久しぶりにエキナカのカレー屋に寄ったのだが、残念ながらこの店はインディカ米でないことを忘れたまま何ではなくライスを頼んでしまったので、ジャポニカ米が出てきたときにはがっかりした。上野ではビリヤニを頼まないとインディカ米にならない。これが品川の支店と違うところだ。
ここ数日はWORDLEというゲームをやっている。五文字の英単語を当てる遊びで、一致する文字があるか、その位置が合っているかをヒントにして、六回以内に当てる。該当する文字が含まれていれば黄色、位置も正しければ緑で表示されるのだが、これが意外と厄介だ。一度など、含まれる文字はわかったのに単語がどうしてもわからないことがあった。CELEUが含まれていることがわかったので、CRUELかと思ったがどうしてもわからず、母音と子音の並びから適当に当てはめて適当に作った単語UCLERが正解だった。あとで調べると「潰瘍」という意味らしい。
この日は便秘薬をもらいに内科に行った。医師に「長々と酸化マグネシウムを処方してもらっているが、悪影響はないか」と尋ねたが「よほど腎臓が悪くなければ大丈夫」と太鼓判を押された。また、「近頃猛烈に臭いおならが止まらないのはタンパク質の取りすぎか」と聞くと、「三食きちんと食べていれば、現代人の食生活でタンパク質が不足することはそうそうない」とのことだった。
近頃はタンパク質不足を注意する広告ばかり見るのだが、逆の意見は新鮮だった。
確定申告を無事に終える。以前と比べてインターフェースが随分と見やすくなった。しかも、マイナンバーカードとスマートフォンがあれば税務署でパスワードを発行してもらわなくて済むようになっている。大変ありがたかった。
とはいえ、ずっと昔に設定したマイナンバーカードの4桁の暗証番号を思い出すのが大変で、しかも最後になって別の英数字のパスワードを要求されたので、危うく今までの作業すべてが無駄になりかけた。ところで、医療費控除が0円なのに医療費の明細を別便で送れと出てきたのだが、最初に医療費控除にチェックをつけたせいだろうか。0円なのだから明細を出す必要はないはずだが、どうなのだろう。
それはさておいて、作業をしているときに手元の湯呑を見るとヒビに沿って茶の跡がついている。おかしいと思って湯呑に触れるとミシミシ音がする。念を押すために水を入れるとヒビから水滴が出てくる。これではもう使えない。なので確定申告が終わったら近所まで湯呑を買いに出た。家族のものと並べて違和感のなさそうな模様と大きさの湯呑を選んで帰宅。
この日は朝のうちに雨が止むと聞いていたので、美術館に行こうか休もうかとだらだらしていた。結局電車に乗るのが面倒だったので、夕方になって走ろうと決心したのだが、いざ走ろうとすると天気予報が変わって、ヤフーの雨雲レーダーによれば間もなく強い雨が降るという。現に小雨がぱらつきだした。このままでは美術館にも行けずジョギングもできない半端な日曜日になる。それが悔しくて小雨を縫って走った。しかし、雨脚も強くなり始めた中を走るのは寒いので、いつもの三分の二ほど走って引き返した。
ジョギングで財布を落としたことがある。それも二回だ。財布と言っても小銭入れで、そのうちの一回は子供のころ使っていたボロボロのやつなのだが、もう一つはそれなりにいいものだった。買ったはいいが使わなかった小銭入れだ。ただ、入っていたのは千円にも満たず、これといった特徴もないし、警察署に行くために休みをつぶすのも気が進まないのでそのままになっている。
とはいえ、裸のまま小銭を入れて走るのも気が進まないので、落ちない財布を探しに出かけた。最初に考えたのは金属チェーンがついている財布だが、ジョギング用のパンツにはチェーンをつける場所はない。続いて探したのは腕につけるタイプのものだがこれはスマートフォンしか入らない。ウエストポーチは腹に違和感を覚えたまま走ることになるので嫌だ。
結局、チェーン付きの財布にキーホルダーをつけて使うことにした。これならさすがに落としたときの音で気が付くだろう。
それとは別に、無印良品で再生紙の分厚いメモパッドを補充したのだが(筆圧が高くても低くても描けるので愛用している)、帰宅したら親が刑務所で作られたメモパッドを買っていて、それをくれたのでメモパッドが余ってしまった。なぜ刑務所にまで寄ってそこの製品を買ってきたのかといえば、元々妹が布を洗うのに愛用している石鹸が刑務所のものだったのだが、自分が間違ってそれを排水溝掃除に使ってしまったので、補充のために行ったのだ。
ちなみに、無印良品では前よりも食料品が充実しているようになった印象を受けた。ただ、行ったのが久し振りだから記憶がいい加減な気もする。
ロシアのウクライナ侵攻から数日経つ。できることはあまりないが、いくらか寄付をした。それからウクライナの他にトンガやアフガニスタンをはじめとした地域にもお金を出した。確定申告で帰ってくる額はそれなりにあるのだが、それを全部使って足が出るくらいだった。
月に一度の有給休暇で、メトロポリタン美術館展に行こうとしたのだが、出かける間際になってもタブレットが部屋中を探しても見当たらない。仕方ないのでそれなしで出かけたのだが、後で妹に聞くと洗面所にあったという。理由はよくわからない。
美術展はとてもよかった。巨匠の作品が一人ひとつずつ来日しているといった風だ。フェルメールでさえ来ている。上野にももう一作品来ているのに、である。作品を順繰りに見ているうちに、自分はエル・グレコが好きなのだと再確認できたのはよかった。
ところで、クラーナハのパリスの審判では若いときに気づかなかった特徴があった。まず、ヘルメスがやたら年を取っていること。それから、持っているのが果実ではなく水晶であることだ。このあたりはヌードにばかり気を取られてしまう若いうちにはわからなかったことだ。
ヌードと言えば、クールベの作品はセルライトもある現実的な肉体を描くが、ジェロームは理想化されていると解説に書いてあった。たしかにジェロームの作品で描かれた肌はつやつやでどこかアニメっぽかった。一方のクールベは、水に足を浸そうとする様子がいかにも冷たそうで、そこがユーモラスに感じられた。
公開された桁数の文字列の総数 ≫ 公開された桁数未満の文字列の総数のため
文字種が M、公開された桁数が N とする。
N 桁の文字列の総数は当然 M^N。
では、(N-1) 桁以下の文字列の総数はと言うと、高校数学の等比級数の知識を使えば簡単で、M (M^(N-1) - 1) / (M - 1)
((N-1) 桁以下の文字列の総数) / (N 桁の文字列の総数) = (M (M^(N-1) - 1) / (M - 1)) / M^N = 1 / (M - 1) - 1 / (M^(N-1) (M-1)) < 1 / (M - 1)
だから、(N-1) 桁以下の文字列の総数 は N 桁の文字列の総数 の 1 / (M - 1) 程度にすぎないし、
(N-1) 桁以下を探索しないことで探索効率は (M - 1) / (M - 2) 倍程度しか上がらない。
M = 26 (アルファベット小文字のみ) のとき、 1.04 倍
M = 36 (アルファベット小文字 + 数字) のとき、1.03 倍
M = 62 (アルファベット大文字小文字 + 数字) のとき、1.02 倍
くらいしか上がらない。
13桁で英数字混じりなら総当たりで10万年レベルの時間がかかる
「クラウドで並列化すれば〜」
まぁ最大なので実際にはそれより短い時間で解けるけれど総当たりするにしては割に合わない
とか言う人もいるが当然一文字でも違ったら解けない
この手の辞書攻撃はヒューリスティックになるからせいぜい10種類×並び替え×数字4桁総当たりぐらいしか試せない
うちの社内で回ってくるファイルのパスワードが数字4桁だったり8文字アルファベットなことを考えたら13桁の英数字ってのはもの凄くマシだと思う
もちろん巷でささやかれているような簡単な13桁でヒットする可能性もあるわけだが
一般的に考えたらパスワードが13桁の英数字であることをバラすのはそんなに問題ではないと思う
「13桁だからこれじゃない?」という推測を垂れ流している行為がクラッキングに加担しているのだが、自覚を持ってない人間が多くてビビる
1~13桁までの総当たり:203307695650123392002282通り
13桁の総当たり:200028539268669788905472通り
つまり、桁数が13桁であると分かった場合、分からない場合と比べて試行回数は1.6%減る。
意外と減らない。
事実は小説よりも〜というが、IT人材なら毎年受ける社内セミナーのインシデント事例に載っているような情報セキュリティインシデントはやはり起こり得る。
今日ニュースを騒がせた事例で言うと、「外部に持ち出し許可されていない重大な情報をUSBで持ち出し」「途中で寄り道をして(あろうことか1番の悪手である飲酒を行い)」「それを鞄ごと無くした挙句」「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」というお粗末加減。
これだけで30分くらいの教材が出来てしまう満漢全席フルコース事例である。今って令和だよな??
この事例の中で特にやばかったのは、
「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」
だろう。
桁数と文字種別まで言ってしまえば、総当り攻撃用のツールを使えば簡単に解析されてしまう、というITに携わる人間なら当たり前のように知っているであろうことを知ってか知らずか情報開示してしまった時点で、相当ITリテラシーが低いんだろうな…と思わざるを得ない。
自治体名のアルファベットがTwitterのトレンドに乗ってしまった今回のインシデントだが、
「そもそもなんでそんなに簡単なパスワードを設定した」と推測され、トレンドになってしまうほど騒がれたのだろうか。
俺は、未だにそういう自治体が多いから(もっと言うと、ネットでは馬鹿にしつつ、そういったパスワードで運用に携わったことのある人が多いから)だと思っている。
あっ、俺?言わせんなよ。
1番の要因は、「扱う人が非常に多いから」だ。
システムの種類や大小によって様々だと思うが、システムの開発先、運用者、また顧客側の担当者など、多くのステークホルダーが関わっている場合、そのシステムの利用者が一定分かり良いパスワードに設定されることが多い。
(自治体で内部向けヘルプデスクを設置している場合、各担当者からパスワードを確認された際に電話口で分かりやすいアナウンスが出来るよう『配慮』されているパターンもあるだろう)
開発と運用が同一ベンダーの場合、比較的ランダムなパスワードを設定することがあるが、入札によって対応ベンダーを決定する自治体という特性上、異なるベンダーに分かれてシステム運用がなされるケースもあり、その場合は自治体名などを文字ったパスワードが設定されることが多いと考えられる。
また、セキュリティの観点から定期的にパスワードを変更する運用が理想とされているが、それらステークホルダー全員への周知を行うのが手間という理由から、大体1年に1回、場合によってはシステム導入から1回もパスワードを変更していないという自治体も非常に多い。
とはいえ、自治体名をそのままパスワードに用いている運用は少ないだろう(……だよな?)
通常、情シス担当として気休め程度にはパスワードにランダム性を導入したいというのが心情だろう。
啓発の意味を込めて紹介するが、多いケースとしては以下であろうか。
・自治体名に何かの単語をつけるパターン(city,system,unyo,そのシステムに固有する単語等。taxとか)
・"i"を"1"や"!"、"a"を"@"、"z"を"2"など、見た目が近いものに置換するパターン
etc.....
こういうパスワード運用をしているやつ、内心ヒヤヒヤしてるんじゃないか?
俺?だから言わせんなって。
■最後に
どこかの自治体や企業のシステムを運用している人達には、同様のパスワード設定がなされていないか、パスワードの変更が定期的になされているかの確認が飛んでくるだろう。
ご愁傷さまだが、これを見直すいい機会にしようぜ。
俺もお前もな。
