7月版 定期的に話題になる「パスワードの定期変更」


山本洋介山
bogus.jp

2011/8/8

 7月は大きなセキュリティインシデントもなく、この数カ月の間暴れ回っていたAnonymousやLulzSecも鳴りを潜めてしまったようです。

 一方国内では、セキュリティ&プログラミングキャンプ(セプキャン)への参加を希望する若者たちがタイムラインをにぎわせ、台湾のセキュリティカンファレンスでは日本人が活躍を見せました。そして、パスワードや法律の問題では、いつものように盛り上がりを見せています。その一部をご紹介しましょう。

親御さん、ご安心を。怪しいキャンプじゃありません!

 毎年夏休みに、セキュリティやプログラミングに興味のある前途有望な学生を全国から集め、合宿形式で勉強しつつ、成果物を発表する「セキュリティ&プログラミングキャンプ」(セプキャン)が開催されています。この真夏のイベントが今年も開催されることになり、6月末に参加者の募集が始まり、7月末には参加者が発表されました。

【関連記事】
今年もアツかった! セキュリティ&プログラミングキャンプ開催(@ITNews)

http://www.atmarkit.co.jp/news/201008/19/camp.html

 交通費、宿泊費が無料のうえ、現役バリバリの著名なエンジニアに直接指導してもらえるという、ITに興味を持つ学生にとっては夢のようなイベントです。申し込めば誰でも参加できるというわけではありません。参加希望の学生さんたちのつぶやきを見ると、選考を通過するため、能力ややる気のアピールに苦労しているようでした。

 そんなセプキャンですが、去年までとは違い、学生さんのTwitterユーザーがずいぶん増えているようです。募集開始前から、参加者が決まり当日を待ちわびる現在に至るまで、参加希望者、講師や関係者らが、主に#spcampハッシュタグを使って、キャンプについて活発につぶやいています。立場ごとのさまざまな考え方が垣間見えて、大変興味深いです。

 主なツイート内容を箇条書きにしてみました。

  • 講師、OBによる自己アピールの仕方
  • 講師、OBによる親の説得方法
  • 受かった人の喜びと落ちた人の嘆き
  • 参加者の役に立たなかったという文句
  • キャンプに対する心構え
  • 講師の伝説

 興味深かったのは、親の説得方法についてです。親御さんの中には、待遇が良すぎることもあり、「だまされてどこかに監禁されて、IT奴隷としてこき使われる偽キャンプ」と勘違いしている人もいたりするようでした。一応公的機関がやっている事業なのですが、分かってもらうのはなかなか大変ですね。

お母さんにぱぱっとセプキャンの事言ったら「信じられない。絶対機械の販売が目的」とか言われたなう…less than a minute ago via Tabtter Favorite Retweet Reply

僕も親にセプキャンの話したら、「中国とかに連れていかれて死ぬまで無賃金でプログラミングさせられるんじゃない」とか言われた…less than a minute ago via mikutter Favorite Retweet Reply

 これまでは、キャンプに行って初めて参加者同士が知り合う、という場合がほとんどだったと思います。しかしここ数年、mixiやTwitterなどを通じて、参加申し込み前から講師、参加者が互いのことをそれなりに知っているという関係の変化が起こっています。短いキャンプの期間で、それがどのような効果を生み出すのかが楽しみです。

 そして、今回惜しくも選から漏れた人が参加者のtwitter idリストをまとめていたのが個人的には印象的でした。情報セキュリティまとめキャンプがあれば文句なく参加できたんでしょうけどね。

【関連リンク】
セキュリティ&プログラミングキャンプ2011

http://www.ipa.go.jp/jinzai/renkei/spcamp2011/index.html

日本人ハッカー、台湾でも大活躍

 このところ韓国や中国、シンガポールなどアジア各国でセキュリティ系のカンファレンスが開催されています。7月22日、23日には「HIT2011」(Hacks in Taiwan Conference)というイベントが台湾で開催されました。

 日本からは、セキュリティクラスタではおなじみの@07c00さん、@hasegawayosukeさん、@takesakoさんの講演が行われることもあり、日本から参加した方も多かったようです。飛行機に乗って台湾に行くところから帰ってくるところまで、たくさんのツイートがありました。

 講演のテーマは、@07c00さんは日本の携帯セキュリティについて、@hasegawayosukeさんはIEでのXSSについて(「僕と契約してXSSガールになってよ!」というタイトルでした)、@takesakoさんはFlash Liteの逆アセンブルについてと、どれも大好評だったようです。

 また、同時開催のWargameというCTFのような競技会では、チームsutegoma2で大活躍の@murachueさんが2位、@ucqさんが6位に入賞しました。

wargame 終了。おそらくこれが最終になるかとは思いますが、@murachue、@ucqお疲れ様 #HIT2011 http://yfrog.com/kex8kdpless than a minute ago via TweetDeck Favorite Retweet Reply

@tessy_jpさんがアップロードしたHIT2011 Wargame結果の画像http://yfrog.com/kex8kdp

 さらに@kuroneko_stacyさんが「most beautiful costume-clad girl」(最も美しいコスプレハッカー!?)という賞をいただくなど、日本人大活躍ですね。ちなみに@murachueさんの賞金は12000NT$、@kuroneko_stacyさんの賞品は1TBのハードディスクだったようです。

12000NT$もらたー。やたーありがとー!less than a minute ago via Twitter for iPhone Favorite Retweet Reply

 ツイートだけでも現地の雰囲気を感じることができ、非常にありがたかったです。けれど台湾は距離も近いですし、イベント前後にアップロードされた料理もとても美味しそうでした。機会があればぜひ行ってみたいものです。

【関連リンク】
HITCON2011のプレゼン資料

http://hitcon.org/hit2011/download.html

パスワードの定期変更、やっぱり必要?

 この数カ月、何度も議論のネタになっていた「パスワードの定期変更」ですが、また新たな問題提起がされています。8月に入って、国内の複数のオンラインバンクで不正アクセスがあったことが報じられており、あらためて考えておきたいテーマですね。

パスワードを定期的に変更するのってどうなんだろうと今更ながら都市伝説スレをチェックしてきた。きれいに盗まれちゃったやつ(盗んだやつ)を使おうと思ったら変更されてた!というのに有効だと思うので定期的に変更はいいんじゃないの?less than a minute ago via web Favorite Retweet Reply

 つまり、付箋などに書かれたパスワードが盗まれたようなケースを考えると、(定期)変更も有効なんじゃない? というご意見です。

 これに対し、「確かにこういうときには定期変更の意味はある」という意見とともに、「そもそもパスワードを付箋に書いて貼る時点でダメだけど、自分もやってるので突っ込めない」とか、さらには「変更のコストが問題」だという意見が上がりました。

 というように、月に1度くらいはTLで話題になるのがパスワードの定期変更です。ここで、TLで見られる意見をまとめておきたいと思います。

 まず、Webのログインなど、オンラインでのパスワードクラックに関しては、定期変更してもそれほど意味はない、という意見が大勢を占めているようです。定期変更よりもむしろ、パスワードとして容認できる文字種や文字数を増やしたり、より複雑で強固なパスワードを設定したり、エラーが何度か続いたらログインをロックしてクラックの試行回数を制限するなど、他の対策を行ったほうが効果的だというわけです。

 定期変更を行うと、パスワードを持ち主の自分でも覚えきれなくなります。この結果、同じような覚えやすいパスワードを使い回したり、単純なルールでパスワードを作成する人も多いことから(例えば「password1」と「password2」を交互に使い回すようなものですね)、単純で覚えやすいパスワードを交代で使うよりは、強固で覚えられにくいパスワードをずっと使うほうが安全だ、ということですね。

 ただし、UNIXのパスワードハッシュやNTLMハッシュのように、盗んだハッシュをオフラインでクラックできるようなパスワードに関しては話が少し異なります。こうしたケースでは、クラックに成功しても、その時点でパスワードが変更されていればログインできなくなります。その観点で、定期変更に意味はあるのではないかという意見もありました。

【関連記事】
パスワードの定期変更という“不自然なルール”(@IT Security&Trust)

http://www.atmarkit.co.jp/fsecurity/rensai/dknight06/dknight01.html

 そして、付箋に貼ったパスワードも、オフラインクラックの場合と同様に定期変更の価値はありそうです。

 となると、「定期変更する」「しない」と決めつけずに、状況に応じてルールを設定するほうがいい、という無難な結論になりそうです。ただ、パスワードを定期的に変更するといっても、ローテーション(使い回し)はやめたほうがいいと思います。クラッカーがパスワードを盗んだ直後には使えなかった(=悪用を防いだ)のに、ローテーションによってまた、そのパスワードが使えるようになる危険性があるので……。

セキュリティクラスタ、7月の小ネタ

 その他に気になったことはこのあたりです。8月初めはちょうど、DEFCONが開催されたところです。ラスベガスからどのようなツイートがされるのでしょうか。楽しみですね。

  • ウイルス作成罪で初の逮捕者
  • イカタコウイルス作成者に実刑判決
  • パスワード認証を回避してWindowsにログインする方法が大人気
  • jQuery MobileのXSS、新バージョンでも修正されず
  • secure.softbank.ne.jp終了でいまさらどうして? と思ったら危険なネタバレが続々
  • Firefoxの特定の数値文字参照のレンダリングにおけるXSSが不思議すぎる件
  • 憧れの電波暗室
  • Twitterで日本語ハッシュタグが使えるようになり文字コード好き歓喜
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年6月版へ    

Twitterセキュリティクラスタ まとめのまとめ 2月版 バックナンバー


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH