過去の日記
<< 2007/08/ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >>

2007-08-01 [長年日記]

アンテナ [etc]

いつの間にかケータイのアンテナというのは画面の中の三本の線になったらしい。あの指でつまんで引っ張って伸ばす実際のアンテナはどこへ消えたんだ。冗談じゃない、電話からアンテナが消えたってことは僕らはどこからアレを受信しているのか。

炭の薬缶 - ケータイからアンテナが消えた

多分10年ぐらいは昔の話になると思うけど、

携帯電話のアンテナは技術上、本体内に設置して外部に出さなくすることはできるけど、それだと売れない
買う者の心理として、あるべき*1ものが無い、ついてない、というのは無意識下で大きな障壁になる

てな話を読んだか聞いたことがある(直接開発者に聞いたような感じがする)。

ICチップなんかを考えればアンテナが棒状である必要なんてないことがよく判る。

300日攻撃 [news]

ゼロデイ攻撃と対極にあるケースとして「300日攻撃」と命名している。

今度はRARスパムが氾濫、旧バージョン製品狙った「300日攻撃」も - ITmedia News

ニュースのタイトルの付け方が圧倒的に良くない。

識別と認証を区別して考えることはセキュリティに繋がる [etc]

というか「セキュリティ問題を回避できる」と言うべきか。


識別と認証を混同すると、深刻なセキュリティ問題になる。

とは、

セキュリティはなぜやぶられたのか

  • 作者: ブルース・シュナイアー
  • 出版社/メーカー: 日経BP社
  • 発売: 2007-02-15
  • ASIN: 4822283100
  • メディア: 単行本
  • amazon.co.jp詳細へ

の278ページに書いてあることである。
ログインid=識別に使われる情報で、パスワード=認証に使われる情報である。
ログインidは秘匿できるとは限らない。はてなやYahoo!など、他の用途(blogやオークション)に使う以上、オープンな情報だとするべきだ。
だからこそ、パスワード=認証情報は秘匿しなければならない。バイオメトリクスが流行なのも、複製や偽造などが不可能とされているからだ。
そのバイオメトリクスを巡って、「深刻なセキュリティ問題」が実際に起きつつあるような気がする。


茨城県那珂市様の市立図書館システム構築を受注- FUJITSU Japan

というプレスリリースがある。これはいいとして、2007.4.30の日経ビジネスにちょっとビックリするようなことが書いてある。

「手のひら静脈認証は、そういう使い方を想定していない」。富士通の担当者の反応はつれなかった。
(略)
再び富士通の担当者にかけ合い、「図書館システムで使用できることが証明されれば、セキュリティー分野以外にも利用範囲が広がるはず」と結局説き伏せた。
(略)
登録されている何千、何万もの静脈パターンの中から該当するデータを見つけ出す必要がある。そのままでは利用者は何分間も待たされ、貸し出しシステムとして使い物にならない。
(略)
利用者ごとに認証番号を登録して、本を貸し出すときに入力してもらう。この時点で該当する静脈パターンが絞り込まれるので、認証にかかる時間も短縮された。認証番号は誰もが忘れない数字として、利用者の生年月日を選んだ。

……判るだろうか?
表面上は――あるいは表現上は――生年月日を認証情報としている。
しかし、日経ビジネスの記事から判断する限り、システム上は生年月日が識別情報で、静脈パターンが認証情報だと考えるのが妥当だろう。


想像しみるといい。
たったの365日、365パターンのユーザidしかないシステムを。
大文字アルファベット2文字分以下の情報量である。大間違い。生月日だった……。スミマセン。
認証情報には確かに偽造が難しい静脈パターンを用いてはいる。

現在では登録可能な約1万人のうち8割以上が静脈認証を使用している。

と記事にあるので、そのシステムで「なりすまし」が可能である確率は確かに低い。「なりすましの可能性」のトレードオフとして利便性を採ってもいいレベルだ。

しかし、富士通の担当者が言った「そういう使い方を想定していない」という言葉は正しい。
この様なシステムが――識別情報を認証に、認証情報を識別に使ってしまうようなシステムが、本当に広まってしまったらどうなるか。何十万人という利用者が使い始めたらどうなるか。想像してみよう。

自分が入力しようとしている、あるいは登録しようとしている情報が識別情報なのか認証情報なのか。それを区別し、判断できるような目を持たなければならない。


日経ビジネスの記事を書いた人も、富士通を説き伏せたと言っている図書館の人も、日経ビジネスの記事を書いた人は、本当に識別と認証を区別してリスクを認識していたのだろうか? と不思議に思うのだった。


追記と一部本文の訂正(打ち消し線部分とその前後)

利用者の認証手段としては「手のひら静脈認証」と「和暦の誕生日」と「資料の数(貸出冊数)」の3点セットになっているそうです。

日々記―へっぽこライブラリアンの日常―: 続・図書館に静脈認証システムが

とあるので365日×100年+α(2月29日)か。(貸出冊数は認証じゃないと思う……。今から借りようとする本の冊数じゃないかなぁ)
36500余通りだと充分に感じるかもしれないが、クレジットカードの数字が16桁あるのに比べるといかにも小さい。
一般的なidに使われる英大小文字+数字なら3文字以下。
しかも、"有効な数"が明であるし、出生数で偏りがあったりもするし。

*1 あるべきだと思いこんでいるだけの話だが。