Scribble at 2022-06-27 09:53:59 Last modified: 2022-06-27 16:29:33
尼崎市の受託業者の社員が USB メモリでデータを勝手に持ち出して、酒場で泥酔して USB メモリの入った鞄を無くしましたという事故について、尼崎市の職員が記者会見で USB メモリに設定されていたパスワードの桁数を口にしたという逸話がある。これについて、13桁ならどのみちクラウドで多数のインスタンスに並行して解析させたら造作もなく分かってしまうという理由で、桁数を公表したことが大した問題ではないというのが主旨らしい。
でも、パスワードの桁数といったヒントを〈うっかり〉漏らしてしまうような人は、たぶん他のヒントも誰かに〈うっかり〉漏らしてしまう可能性が高いんだよね。要するに、これは尼崎市がその手のソーシャル・ハッキングに弱いということでもあり、なんにしても情報管理の施策がうまく行っていない証左であることは間違いないと思う。
そりゃ、拾った(あるいは盗んだ)USB メモリのデータを取り出したい攻撃者なら、桁数がどれだけなのか知っていようと知るまいと解析はやるものだし、もっと大掛かりな手段を使ってる組織(個人でもいる)なら、暗号化したままストレージのバイナリ・データを電気化学的にコピーしようと思えばできるので(HDD や SSD のデータ復旧業者と同じ機材や技術があればできる)、USB メモリが見つかったとかハードウェアへのアクセス記録をフォレンジックしたていどで、データが盗まれていないという保証にはならない。
それと、桁数が分かると確実に解析の時間は少なくなる。なんと言っても、1桁~12桁のパスワードは全く無視できるからだ。いや、それどころか13桁以上のパスワードも解析しなくてよくなるから、最初から用意されている文字列を試す辞書引き型の攻撃なら更にコストが安くなる。そして、上記のコメントを書いている人物は勝手に文字種を単語+数字などと仮定しているが、そこまで仮定しないと「最初から危険」とは言えないわけだから、上記のコメントは殆ど消防士が火をつけて騒いでいるような話であろう。