第29回 一事が万事
金正日総書記の死去という非常事態に対する政府の危機管理姿勢にメディアの批判が高まっています。野田佳彦首相が街頭演説を優先した問題や山岡賢次国家公安委員長が安全保障会議を欠席したことなど政府の危機管理に不安を抱かせる対応に批判が集まるのは当然でしょう。一方、翌12月20日には、歌手長淵剛さんが、東日本大震災に伴う自衛隊員の支援活動を激励するため被災地で行ってきたコンサート活動に対する感謝状の授与式が防衛省陸上自衛隊市ヶ谷駐屯地内講堂にて行われていますが、こちらには、メディアの批判は、全く聞こえてきません。一川防衛大臣の挨拶のあと陸海空合わせておよそ1,500人の自衛官が肩を組んで「乾杯」を大声で合唱する姿をテレビでご覧になった方も多いと思います。韓国政府が軍の総力を挙げて厳戒態勢を布いているさなかに、防衛の中枢である市ヶ谷に1,500人もの自衛官が集まり、合唱する神経が私には理解できません。防衛大臣の判断で、あるいは事務方、あるい自衛隊幹部の判断で延期することができなかったのでしょうか。同じテレビ番組で政府の対応を批判しておきながら、感謝状授与の様子は、芸能ニュースとしてしか扱わないメディアの感性にも失望します。私自身、自衛隊やその活動を激励した長淵剛さんに心から敬意を払いますが、韓国防衛関係者が、朝鮮戦争休戦以来、最大の緊張状態と判断しているさなかにもかかわらず、優先される行事とは思えません。振り返れば、2011年は、日本人の「危機管理」が問われた年だったと思いますが、年末の瀬戸際のこの光景は、全てを象徴しているようです。
あらためて物理セキュリティを考える
そいう意味であらゆる事態を想定し、態勢を整えるのが危機管理の要諦だとすれば、物理セキュリティに気配りすることも重要です。ハッカー同士で交換されている情報は、ネットワークの脆弱性やサイバーハッキングの技術だけではないからです。Key Impressioningという単語は辞書に無い単語ですが、ハッカーの世界では、「合鍵の作製」や「解錠テクニック」を意味する言葉として使われています。解錠方法やタンパーシール(封印)の気付かれない破り方など物理的なハッキング手法についても同様に情報交換されています。サーバールームのドアの施錠に使用されているシリンダー錠や暗証番号錠がいとも簡単に空いてしまうというのが現実だということを認識している日本人は少ない気がします。海外では、毎年、解錠のスピードを競うKey Impressioning Gameという競技会LockCon(http://blackbag.nl/
)が行われていて、年々解錠スピードの記録が塗り替えられています。「合鍵の作製」と言っても元の鍵を入手して合鍵を作るというわけではありません。溝を掘る前の鍵形を錠に差し込み左右にネジ回すことで鍵形に微かに傷跡がつきますが、その傷跡を頼りに鍵をヤスリで削り出して合鍵を作ってしまうのがKey Impressioningです。
2011年度のKey Impressioning Game世界大会の優勝者Joy Weyersは、わずか50数秒で合鍵を作ることができます。世界中のハッカーが集うDEFCONでは、こうした物理的な錠の解錠方法や解錠に役立つ?道具が毎年展示販売されています。ピッキングに使う道具などは、日本では所持しているだけで現行犯逮捕ですが、DEFCONでは、堂々と販売されており、使用方法などもその場で教えてくれます。会場では、Key Impressioningの初体験者を相手にKey Impressioning Gameが開催されていたりもしますが、今年、物議をかもしたのは、DEFCONに初めて併設された。DEFCON Kidsで子供たちにシリンダー錠のピッキング方法が教えられていたことです。DEFCON Kidsは保護者の同伴を前提とした8歳から16歳までの子供を対象にしたイベントで、SQLインジェクションのようなハッキングの手法からシリンダー錠の解錠方法まで教えていますが、さすがにピッキングは教育上好ましくないと一部のメディアが批判的に報道しています。冷静に考えればSQLインジェクションであれ、シリンダー錠の解錠方法であれ、インターネットを検索すれば簡単にその情報が得られる時代に批判しても始まらない気がします。むしろシステムや錠が簡単に破れることを子供のうちから教育しておけば、セキュリティに対して十分な注意が払える人材育成につながると考えた方が得策の様な気がします。
最新式も安心できないのが現実
解錠技術は、シリンダー錠のような古典的な錠だけではなく、RFID錠のような最新式の錠に関しても研究されており、研究者によって公開されています。今年はスイスの大手錠前メーカーの一連の製品が研究対象として取り上げられました。このメーカーの製品は、空港やデータセンターのような重要な商業施設、政府機関で使用されており、これらの製品が簡単に解錠できてしまうことの影響は計り知れないものがあります。
弁護士でもあるMarc Weber Tobiasが率いる研究者グループが、原則にしているのは、「特殊な工具を使わない」ということ。彼らが解錠実験で使用する道具は、針金、ボールペン、磁石、クリップ、アルミホイルなど、どこにでも誰にでも手に入るものに限定しています。彼らは、それぞれの錠の仕組みを説明したうえで、ものの見事に解錠できることを実演してくれます。中でもメーカーとのやり取りに興味がそそられました。彼ら研究者達は、セキュリティの向上のために解錠テクニックを研究しているという立場であり、発見した解錠方法、つまりその鍵の弱点についてはメーカーへ報告し、対処方針を問い質す活動も行っているのですが、今年研究対象とされたメーカーの回答を要約すると「そもそも製品(鍵)は不正に解錠できないことを保証するものではありません。解錠に時間がかかることをその使命として提供しています。その時間は、およそ5分から10分です。」というものでした。言われてみればもっともな話で、この世に開かない鍵は無いわけですから、解錠までの時間を我々は買っていることになります。この点も日本人の認識を改める必要があるでしょう。メーカーからの回答を受けて「それでは何分で解錠できるか、やって見よう。」と研究者たちがおこなった実演は、なんと59秒51でした。
しかも針金を片手だけで操作しただけでボタン式の電子錠が解錠されてしまうのが現実のようです。
この種の錠は、日本国内でもデータセンターなどで採用されており、標的型攻撃が話題になる昨今、狙われたら終わりというのは、物理セキュリティも例外でないことをあらためて認識させられます。サーバーの配線の目印に利用されているタンパーシールの封印を一旦破って、元に戻す方法などを併用されれば、システムの異常原因を突き止めることが非常に困難になり、復旧に何時間も要する事態も想定されるでしょうし、建屋への侵入は、暗号鍵の盗難、消失など、取り返しがつかない事態にも発展する可能性があります。危機管理に想定外を想定する必要性は、ITの世界も例外ではありません。