20 / 30
第4章 防衛
402 Update
しおりを挟む
トンネルの認証に用いるマイナンバー、パスワードともにadminが設定されていた。
これは、説明書に記載されている、初期値の文字列。同じ製造元の、全てのトンネルに同じ文字列が設定されている。
初期値の文字列は、製造元により異なる。
Logitec屋。
マイナンバーはadmin、パスワードもadmin。
I-O DATA屋。
マイナンバーはadmin、パスワードは空白。
BUFFALO屋。
マイナンバーはroot、パスワードは空白。
という感じで、設定されている。
困ったことに、初期値のままになっているのは、特別なことではない。
アンケート調査によると、四割は初期値のまま利用し、一割は認証機能の存在を知らない。そして四割は把握していない。
驚くことに、意図的に変更している割合は、一割に留まる。
初期値で利用している割合を、最大値の九割と仮定する。この場合、製造元ごとの初期値をリスト化し、順番に試行するだけで、十中八九照合に成功することになる。
あくまで仮定の話。とはいえ、照合成功確率が高いことは事実。侵入することを目的とする乱波が、試行しない理由は存在しない。
当然、真っ先に試行する。
照合試行は、単調な作業を延々と繰り返すだけ。手作業で行わなければならない理由は無い。
自動化すれば、試行の手間は一切掛からない。放っておけば、照合に成功した一覧が自動的に生成され、侵入し放題になる。
初期値から変更しない行為は、玄関に鍵を差し込んだ状態で放置しているのと同じ。と、説明したところで放置されるのがオチ。
帰蝶が変更し、設定した文字列を印字しておく。
乱波が攻撃を仕掛ける際に突くのは不具合。
トンネルのファームウェアバージョンを確認すると1.00だった。予想はしていたけれど、一度も更新されていない。
最新状態に更新し、全ての修理キットを適用する。待っているだけで終わるのだから、敢えて更新しない合理的な理由は存在しない。
現在までにトンネルの管制室に入る機会があったのであれば、ファームウェアの更新を行なっているはず。
何年もの間、入る必要が無かったのであれば、認証時の入力文字列を、複雑で長いものに変更することにより生じる影響は無いと確信する。
もしも簡単な文字列を設定する場合、二〇二二年一〇月一七日に東海国立大学機構がサーバに侵入された手法、総当たり攻撃の成功率が高まる。短時間で破れる認証機構は、無いのと同じ。
〇から九の数字が一〇種、aからzまでの小文字英字が二六種。AからZまでの大文字英字も同数の二六種。桁数が増える度、組み合わせパターン数は累乗されていく。大文字小文字英字と数字を組み合わせた六二字を用いた、六桁の文字列の組み合わせパターンは五六八億通り、八桁で二一八兆通りある。
たった一桁増やすだけでも、組み合わせパターン数は膨れ上がる。
記号を使えるのであれば、合致するまでに要する時間を、大幅に長く出来る。記号を含めて試行されなければ破られることは無いのだから、安全性が格段に増す。
複数種の文字列を使えば、安全性が増すのは事実。でも、それは組み合わせを考える側の話。
問題は、阿呆な製造元が存在すること。安全性を増すためという名目で、複数種の文字列を『必ず』含めなければならないという規則を設けている。
では、それのどこが阿呆なのか。
自ら率先し、組み合わせパターンを減らしている。結果、合致するまでに要する時間を短縮させている。そのことに気付いてすらいない。
乱波側の視点が欠落していることが、大きな問題。
全て数字、全て小文字英字、全て大文字英字の可能性を否定することにより、試行する組み合わせパターンを大幅に削減出来る。
製造元が文字列の組み合わせに、制約を加える行為は、愚の骨頂。入力可能文字種を増やし、複数の文字種を用いることを推奨するだけで十分。
安全性を犠牲にし、面倒さを増すことを組織の総意として、是と判断する製造元が構築したシステムには、当然欠陥がある。
欠陥品を見極め、適切に取捨選択することは、リスクを排除し、安全性を高める手段の一つ。とはいえ、住民に判断を委ねるのは酷。だから今回は、その役目を帰蝶が担う。
これは、説明書に記載されている、初期値の文字列。同じ製造元の、全てのトンネルに同じ文字列が設定されている。
初期値の文字列は、製造元により異なる。
Logitec屋。
マイナンバーはadmin、パスワードもadmin。
I-O DATA屋。
マイナンバーはadmin、パスワードは空白。
BUFFALO屋。
マイナンバーはroot、パスワードは空白。
という感じで、設定されている。
困ったことに、初期値のままになっているのは、特別なことではない。
アンケート調査によると、四割は初期値のまま利用し、一割は認証機能の存在を知らない。そして四割は把握していない。
驚くことに、意図的に変更している割合は、一割に留まる。
初期値で利用している割合を、最大値の九割と仮定する。この場合、製造元ごとの初期値をリスト化し、順番に試行するだけで、十中八九照合に成功することになる。
あくまで仮定の話。とはいえ、照合成功確率が高いことは事実。侵入することを目的とする乱波が、試行しない理由は存在しない。
当然、真っ先に試行する。
照合試行は、単調な作業を延々と繰り返すだけ。手作業で行わなければならない理由は無い。
自動化すれば、試行の手間は一切掛からない。放っておけば、照合に成功した一覧が自動的に生成され、侵入し放題になる。
初期値から変更しない行為は、玄関に鍵を差し込んだ状態で放置しているのと同じ。と、説明したところで放置されるのがオチ。
帰蝶が変更し、設定した文字列を印字しておく。
乱波が攻撃を仕掛ける際に突くのは不具合。
トンネルのファームウェアバージョンを確認すると1.00だった。予想はしていたけれど、一度も更新されていない。
最新状態に更新し、全ての修理キットを適用する。待っているだけで終わるのだから、敢えて更新しない合理的な理由は存在しない。
現在までにトンネルの管制室に入る機会があったのであれば、ファームウェアの更新を行なっているはず。
何年もの間、入る必要が無かったのであれば、認証時の入力文字列を、複雑で長いものに変更することにより生じる影響は無いと確信する。
もしも簡単な文字列を設定する場合、二〇二二年一〇月一七日に東海国立大学機構がサーバに侵入された手法、総当たり攻撃の成功率が高まる。短時間で破れる認証機構は、無いのと同じ。
〇から九の数字が一〇種、aからzまでの小文字英字が二六種。AからZまでの大文字英字も同数の二六種。桁数が増える度、組み合わせパターン数は累乗されていく。大文字小文字英字と数字を組み合わせた六二字を用いた、六桁の文字列の組み合わせパターンは五六八億通り、八桁で二一八兆通りある。
たった一桁増やすだけでも、組み合わせパターン数は膨れ上がる。
記号を使えるのであれば、合致するまでに要する時間を、大幅に長く出来る。記号を含めて試行されなければ破られることは無いのだから、安全性が格段に増す。
複数種の文字列を使えば、安全性が増すのは事実。でも、それは組み合わせを考える側の話。
問題は、阿呆な製造元が存在すること。安全性を増すためという名目で、複数種の文字列を『必ず』含めなければならないという規則を設けている。
では、それのどこが阿呆なのか。
自ら率先し、組み合わせパターンを減らしている。結果、合致するまでに要する時間を短縮させている。そのことに気付いてすらいない。
乱波側の視点が欠落していることが、大きな問題。
全て数字、全て小文字英字、全て大文字英字の可能性を否定することにより、試行する組み合わせパターンを大幅に削減出来る。
製造元が文字列の組み合わせに、制約を加える行為は、愚の骨頂。入力可能文字種を増やし、複数の文字種を用いることを推奨するだけで十分。
安全性を犠牲にし、面倒さを増すことを組織の総意として、是と判断する製造元が構築したシステムには、当然欠陥がある。
欠陥品を見極め、適切に取捨選択することは、リスクを排除し、安全性を高める手段の一つ。とはいえ、住民に判断を委ねるのは酷。だから今回は、その役目を帰蝶が担う。
0
お気に入りに追加
1
ユーザ登録のメリット
- 毎日¥0対象作品が毎日1話無料!
- お気に入り登録で最新話を見逃さない!
- しおり機能で小説の続きが読みやすい!
1~3分で完了!
無料でユーザ登録する
すでにユーザの方はログイン
閉じる