7月版 定期的に話題になる「パスワードの定期変更」
山本洋介山
bogus.jp
2011/8/8
7月は大きなセキュリティインシデントもなく、この数カ月の間暴れ回っていたAnonymousやLulzSecも鳴りを潜めてしまったようです。
一方国内では、セキュリティ&プログラミングキャンプ(セプキャン)への参加を希望する若者たちがタイムラインをにぎわせ、台湾のセキュリティカンファレンスでは日本人が活躍を見せました。そして、パスワードや法律の問題では、いつものように盛り上がりを見せています。その一部をご紹介しましょう。
親御さん、ご安心を。怪しいキャンプじゃありません!
毎年夏休みに、セキュリティやプログラミングに興味のある前途有望な学生を全国から集め、合宿形式で勉強しつつ、成果物を発表する「セキュリティ&プログラミングキャンプ」(セプキャン)が開催されています。この真夏のイベントが今年も開催されることになり、6月末に参加者の募集が始まり、7月末には参加者が発表されました。
| 【関連記事】 今年もアツかった! セキュリティ&プログラミングキャンプ開催(@ITNews) http://www.atmarkit.co.jp/news/201008/19/camp.html |
交通費、宿泊費が無料のうえ、現役バリバリの著名なエンジニアに直接指導してもらえるという、ITに興味を持つ学生にとっては夢のようなイベントです。申し込めば誰でも参加できるというわけではありません。参加希望の学生さんたちのつぶやきを見ると、選考を通過するため、能力ややる気のアピールに苦労しているようでした。
そんなセプキャンですが、去年までとは違い、学生さんのTwitterユーザーがずいぶん増えているようです。募集開始前から、参加者が決まり当日を待ちわびる現在に至るまで、参加希望者、講師や関係者らが、主に#spcampハッシュタグを使って、キャンプについて活発につぶやいています。立場ごとのさまざまな考え方が垣間見えて、大変興味深いです。
主なツイート内容を箇条書きにしてみました。
- 講師、OBによる自己アピールの仕方
- 講師、OBによる親の説得方法
- 受かった人の喜びと落ちた人の嘆き
- 参加者の役に立たなかったという文句
- キャンプに対する心構え
- 講師の伝説
興味深かったのは、親の説得方法についてです。親御さんの中には、待遇が良すぎることもあり、「だまされてどこかに監禁されて、IT奴隷としてこき使われる偽キャンプ」と勘違いしている人もいたりするようでした。一応公的機関がやっている事業なのですが、分かってもらうのはなかなか大変ですね。
お母さんにぱぱっとセプキャンの事言ったら「信じられない。絶対機械の販売が目的」とか言われたなう…less than a minute ago via Tabtter 
Favorite 
Retweet 
Reply
YuukiMirai
僕も親にセプキャンの話したら、「中国とかに連れていかれて死ぬまで無賃金でプログラミングさせられるんじゃない」とか言われた…less than a minute ago via mikutter Favorite Retweet Reply
D_Rascal
D_Rascal774
これまでは、キャンプに行って初めて参加者同士が知り合う、という場合がほとんどだったと思います。しかしここ数年、mixiやTwitterなどを通じて、参加申し込み前から講師、参加者が互いのことをそれなりに知っているという関係の変化が起こっています。短いキャンプの期間で、それがどのような効果を生み出すのかが楽しみです。
そして、今回惜しくも選から漏れた人が参加者のtwitter idリストをまとめていたのが個人的には印象的でした。情報セキュリティまとめキャンプがあれば文句なく参加できたんでしょうけどね。
| 【関連リンク】 セキュリティ&プログラミングキャンプ2011 http://www.ipa.go.jp/jinzai/renkei/spcamp2011/index.html |
日本人ハッカー、台湾でも大活躍
このところ韓国や中国、シンガポールなどアジア各国でセキュリティ系のカンファレンスが開催されています。7月22日、23日には「HIT2011」(Hacks in Taiwan Conference)というイベントが台湾で開催されました。
日本からは、セキュリティクラスタではおなじみの@07c00さん、@hasegawayosukeさん、@takesakoさんの講演が行われることもあり、日本から参加した方も多かったようです。飛行機に乗って台湾に行くところから帰ってくるところまで、たくさんのツイートがありました。
講演のテーマは、@07c00さんは日本の携帯セキュリティについて、@hasegawayosukeさんはIEでのXSSについて(「僕と契約してXSSガールになってよ!」というタイトルでした)、@takesakoさんはFlash Liteの逆アセンブルについてと、どれも大好評だったようです。
また、同時開催のWargameというCTFのような競技会では、チームsutegoma2で大活躍の@murachueさんが2位、@ucqさんが6位に入賞しました。
wargame 終了。おそらくこれが最終になるかとは思いますが、@murachue、@ucqお疲れ様 #HIT2011 http://yfrog.com/kex8kdpless than a minute ago via TweetDeck Favorite Retweet Reply
tessy
tessy_jp
 |
| @tessy_jpさんがアップロードしたHIT2011 Wargame結果の画像(http://yfrog.com/kex8kdp) |
さらに@kuroneko_stacyさんが「most beautiful costume-clad girl」(最も美しいコスプレハッカー!?)という賞をいただくなど、日本人大活躍ですね。ちなみに@murachueさんの賞金は12000NT$、@kuroneko_stacyさんの賞品は1TBのハードディスクだったようです。
12000NT$もらたー。やたーありがとー!less than a minute ago via Twitter for iPhone Favorite Retweet Reply
SchroedingerMurachue
murachue
ツイートだけでも現地の雰囲気を感じることができ、非常にありがたかったです。けれど台湾は距離も近いですし、イベント前後にアップロードされた料理もとても美味しそうでした。機会があればぜひ行ってみたいものです。
| 【関連リンク】 HITCON2011のプレゼン資料 http://hitcon.org/hit2011/download.html |
パスワードの定期変更、やっぱり必要?
この数カ月、何度も議論のネタになっていた「パスワードの定期変更」ですが、また新たな問題提起がされています。8月に入って、国内の複数のオンラインバンクで不正アクセスがあったことが報じられており、あらためて考えておきたいテーマですね。
パスワードを定期的に変更するのってどうなんだろうと今更ながら都市伝説スレをチェックしてきた。きれいに盗まれちゃったやつ(盗んだやつ)を使おうと思ったら変更されてた!というのに有効だと思うので定期的に変更はいいんじゃないの?less than a minute ago via web Favorite Retweet Reply
Kanatoko
kinyuka
つまり、付箋などに書かれたパスワードが盗まれたようなケースを考えると、(定期)変更も有効なんじゃない? というご意見です。
これに対し、「確かにこういうときには定期変更の意味はある」という意見とともに、「そもそもパスワードを付箋に書いて貼る時点でダメだけど、自分もやってるので突っ込めない」とか、さらには「変更のコストが問題」だという意見が上がりました。
というように、月に1度くらいはTLで話題になるのがパスワードの定期変更です。ここで、TLで見られる意見をまとめておきたいと思います。
まず、Webのログインなど、オンラインでのパスワードクラックに関しては、定期変更してもそれほど意味はない、という意見が大勢を占めているようです。定期変更よりもむしろ、パスワードとして容認できる文字種や文字数を増やしたり、より複雑で強固なパスワードを設定したり、エラーが何度か続いたらログインをロックしてクラックの試行回数を制限するなど、他の対策を行ったほうが効果的だというわけです。
定期変更を行うと、パスワードを持ち主の自分でも覚えきれなくなります。この結果、同じような覚えやすいパスワードを使い回したり、単純なルールでパスワードを作成する人も多いことから(例えば「password1」と「password2」を交互に使い回すようなものですね)、単純で覚えやすいパスワードを交代で使うよりは、強固で覚えられにくいパスワードをずっと使うほうが安全だ、ということですね。
ただし、UNIXのパスワードハッシュやNTLMハッシュのように、盗んだハッシュをオフラインでクラックできるようなパスワードに関しては話が少し異なります。こうしたケースでは、クラックに成功しても、その時点でパスワードが変更されていればログインできなくなります。その観点で、定期変更に意味はあるのではないかという意見もありました。
| 【関連記事】 パスワードの定期変更という“不自然なルール”(@IT Security&Trust) http://www.atmarkit.co.jp/fsecurity/rensai/dknight06/dknight01.html |
そして、付箋に貼ったパスワードも、オフラインクラックの場合と同様に定期変更の価値はありそうです。
となると、「定期変更する」「しない」と決めつけずに、状況に応じてルールを設定するほうがいい、という無難な結論になりそうです。ただ、パスワードを定期的に変更するといっても、ローテーション(使い回し)はやめたほうがいいと思います。クラッカーがパスワードを盗んだ直後には使えなかった(=悪用を防いだ)のに、ローテーションによってまた、そのパスワードが使えるようになる危険性があるので……。
セキュリティクラスタ、7月の小ネタ
その他に気になったことはこのあたりです。8月初めはちょうど、DEFCONが開催されたところです。ラスベガスからどのようなツイートがされるのでしょうか。楽しみですね。
- ウイルス作成罪で初の逮捕者
- イカタコウイルス作成者に実刑判決
- パスワード認証を回避してWindowsにログインする方法が大人気
- jQuery MobileのXSS、新バージョンでも修正されず
- secure.softbank.ne.jp終了でいまさらどうして? と思ったら危険なネタバレが続々
- Firefoxの特定の数値文字参照のレンダリングにおけるXSSが不思議すぎる件
- 憧れの電波暗室
- Twitterで日本語ハッシュタグが使えるようになり文字コード好き歓喜
| Profile |
| 山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。 |
| 2011年6月版へ |
 |
セキュリティクラスタまとめのまとめ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
