認証系

面倒な時代になった。

昔だったら、「ID」と「パスワード」の入力を求めて、IDが違っていたら「IDが違います」と表示し、IDが合っていて、パスワードだけ違ったなら、「パスワードが違います。」と表示するのが親切だった。
ところが、今、こんな画面表示をしていたら、(というか、そういう応答を返していたら、)「あ、パスワードは違うけれど、IDは合ってるな」と、推測されてしまう。だとしたら、そのIDに対するパスワードを、今度は同じID(ユーザ名)で、パスワードだけ変えて接続要求を繰り返せば、いい、ということになって、不正侵入に一歩前進されてしまう。そうなると、「IDまたはパスワードが違います。」と、どちらが違っているか伏せた応答を返すしか、セキュリティレベルを考えたなら、方策がない。

おそらく、だけれども、中国の、というか、アクセス元が中国なだけで、中国の国家とは思えない気がした、そのアクセスは、Vodafoneと使い分けていた、ということは、ひとつ前のページで騒いだ中国サーバも、そのIP利用の個人設置である可能性が高い気がするし、もしかしたら、あれほど、必死になっているということは、中国が容認している某国の出稼ぎ労働者か、もしくは、中国が中継ノードを提供している某国のハッカー集団の一人の、ノルマ稼ぎかも知れない気がするけれども、相手が誰であれ、こちらとしてはブロックする以外に方策はない。

ログを眺めていて、感じたことがある。この「不正アクセス」のプログラムを書いた人たちの技術レベルは、それほど高くはない。力任せに、手当たり次第に「隙のあるサーバ」を狙っていて、実際に、隙だらけのサーバがあちこちにあるから、うまくしたら、容易にハッキングできてしまう、という、ただ、それだけのことなのかも知れないと思った。細かい根拠は、色々とあるけれども、知ってる人は誰でも知ってるし、基礎知識のない人に書いても、ほとんど意味がないので割愛する。なんだかなぁ、どのアクセスも、20代の若い盛りの「ネットワークを勉強しました、あれ、こんなことができるかも」で悪事を働き始めたガキどもの仕業、という気がするんだけれども、どうなんだろうか。実際に、日本だの、アメリカだのが、サーバー防衛軍を設立するだのと大騒ぎしている、「仮装敵」の「ハッカー集団」も、力任せに悪事を働いているだけで、それほど技術力が高い訳じゃない気がする。アメリカなんて、とっくに気付いていて、防衛予算をトランプに出させるために、「敵」を誇大に吹き込んでいるんじゃないか、という気もした。

その一方で、そのガキどもに、簡単に侵入を許すサーバも少なくないんだろうな、とも思った。まず、スカスカのrootのパスワード。だって、rootのパスワードを「root」にしておくなんて、「鍵をなくしたら家に入れないから」って言って、鍵のあるドアノブに、その鍵をぶら下げておくみたいなもんで、やめろ、って言いたかった。
それを30年前に強硬に主張したもんだから、僕の訳のわからない人生の「転機」が訪れた。本当に、今でもトラウマになってる。ただ、感謝すべきかなと思うことにしている。おかげさまで、マスターベーションを全世界に実況中継されてもビクともしない程度のメンタルが、鍛えられたのかも知れない。その境地に至るまで、滅茶苦茶騒ぎ続けたけれども。ゴーンさんがいうところの、「日本の、基本的人権を無視した司法制度」的な発言には、一部共感している。あれは、国家権力とマスメディアによる、集団リンチに近かった気がする。もう、今となってはどうでもいいけど。
話を戻す。

もうちょっと、リスクに対する認識を改めるべきだ。って、30年前から、どれほど、まずボヤき、部屋の中で走り書きして、次はネットに書き始め、たぶん、もう、4000ページくらいは書いている気がする。1ページが、ざっくりと平均3000文字を超えてるから、どれくらい書き殴ったんだろうか。でも結局、意味ねぇなぁ。
例えば、グレタ・トゥーンベリさんなんかが、国連演説をしたって、日本の経産大臣は(また蒸し返しているけど)「石炭火力を温存したい」でしょ?東大の、実績ある教授が、原発の下に活断層がある、って言って、NHKの取材でそれを話したって、全部カット。公式記録には「活断層の存在は確認できない」とかになったんだっけか。こんな国、勝手に潰れろ、なんて気分になってくる。福島級が、もうあと2回くらい、福井とか、愛媛とか、あちこちで起ってから、それでようやっと、「原発は、リスクが大きすぎる」なんていうことになるのかなぁ。日本の国土の1割くらいが「居住不能地域」にならないと、「この程度は問題ない」ってな認識なのかも知れない。原発関連事業者と国家公務員にとっては。もう、諦めるしかないね。
人を撥ねて、あるいは、轢き殺してからでないと、「君の運転は、危険だね」という指摘に聞く耳を持つようにならない。だったら、指摘したって、意味ない。それが、「既得権」に縛られた某政党の政治なんじゃないかと、僕は思うけれども、僕はもう十分生きたから、あとは、若い人たちが勝手に、その結果を浴びてください。若い人たちが政治を変えようとしないのなら、僕の知ったこっちゃない。
全然、話が戻ってない。今度こそ、戻そう。

以前、アメリカが某国の、某通信機器メーカの製品を名指しで非難した。その根拠がなかったと思えるだろうか。おそらく、通信屋のいわゆるところの「バックドア」が仕掛けられていた証拠は、押さえていたんじゃないか、という気がする。
前にも一度書いた。私の知人が、その某国産の安い「監視カメラ」を事務所に設置していたところが、ある朝みたら、カメラの方向が変わっていたらしい。間違いなく、遠隔操作されていたと思ったらしい。正直な話、僕は某国製の通信機器、あるいは、某国製の通信制御CPUが入っている機器を使う気に、なれない。いや、私生活がどうこうなんてのは、気にしない。でも、仕事の話が漏れるのは、取引先に迷惑がかかる。

正規の通信機器や、プロバイダを利用して「不正」を試みても、できることには限界がある。そんな、大袈裟に「サイバー部隊創設」なんてやらなくたって、丁寧に細かく対処していけば、大した金をかけなくたって防御できると思う。アメリカも日本も、民間人の無知を利用して大騒ぎして予算を取ることだけは得意みたいだから、もう何も言いませんが。
ただ、国家ぐるみの犯罪で通信機器自体にバックドアが仕掛けられていたら、この防御は困難を極めると思う。

確か日本には、「消費生活センター」とかあって、家電製品とかの安全性をテストしていたような気がする。似たような「通信機器安全センター」みたいなのを創設して、日本国内で流通している全ての「通信機器」を、最低3台は納入させる法律、っていうか、あるいは、業界団体の協力が得られないならば、最低3台は国家予算で購入して、「リバースエンジニアリング」が可能なように、ストックしておくべきじゃないか、なんて思った。
3台と言うのは、1台はそのまま保存する。1台は、CPUを外して、ICE(In Circuit Emulator)を繋いで、CPUの周辺機器にバックドアを仕掛けたプログラムが記録されていないか、読み出す。その際に外したCPUが生きていて、そのCPU単体を検査できるならば、そのCPU内部のフラッシュメモリ領域のプログラムを吸い上げる。もし、非破壊的にCPUの取り外しができないならば、3台目を利用して、CPU内部のプログラムを調べる。

なぜ、フラッシュメモリ領域と書いたか。もし、僕が、通信機器にバックドアを仕掛けるならば、「通信機器」は必ずネットワークに接続されるから、万が一の際には「証拠を隠滅」するために、バックドアを仕掛けたプログラムを、「まともなプログラム」に「更新」させる仕掛けも、同時に仕込むだろうと考えたから。それを見越した上で、犯罪の証拠を押さえるなら、ネットから切り離した環境で、CPUを動作させ、CPU自体の機能を使って、フラッシュ領域のプログラムを吐き出させる必要があるかな、と考えた。そう考えたら、やはり3台は必要かなと思った。

きっと、国内の通信機器メーカーからは反発があるだろうし、アメリカの企業からも反発はあるかもなぁ。だったら、いっそのこと、「国連人権監視委員会」の下部組織か何かで、「通信機器不正防止委員会」とか(名称は適当)を作って、そこに、全世界で利用されている「通信機器」を3台程度納入させ、例えば、その通信機器の内部に、外からの、例えば、中国国内の特定のIPからのアクセスに対しては、あるいは、特定のIDやパスコードを持ったアクセスに対しては、通信データをduplicateして、不正に送信する機能がプログラムされていないか、徹底的に検証する、そうした委員会を設置したっていいんじゃないか、と言う気がする。
その某国が、国際援助との抱き合わせで、被援助国にその通信機器を使うように迫っていたとしたなら、その国際援助を受けた国の国内情報は、全てがダダ漏れで、その某国に流れていくと思って間違いない気がする。
それを防ぐためには、国連などの下部組織で「通信機器の不正」を検証する目的で、数台のマシンを納入させ、コードを丸裸にして、不正がないことを検証するプロセスが必要になる気がする。

僕自身は、某国の通信機器をどうしても信じられない。安倍総理が、IRと同様に、金をつかまされていないか、不安でならない。
どこまで、「不正のない機器」を前提として、「通信の秘匿という安全を確保」できるのか。疑問でならない。国を敵に回したら、携帯電話での通話なんて、全部傍受されますからね。

別に、某国で、政府監視下にある「特定のアプリ」を使わないと、行政サービスすら受けられない、そんなことは、世界中の誰にも関係がないことだけれども、某国の通信機器を使ったなら、国家機密が某国に全部流れる、それは、あってはならないことのように、私には思える。

日本については、・・・どうでもいいけど。(昔のことを思い出した。)
やっぱり、どうでもいいや。もうこれ以上、この話題は、僕の人生には関係ない。何を書いたって、意味がない。なんか、そんな気がした。
(一番キツイ、トラウマの根っこに、自分で好き好んで首を突っ込んじゃった。)