【天下布武！】名前を奪いに来た転校生

第４章 防衛

４０２ Update

　トンネル(ルーター)の認証(にんしょう)に用(もち)いるマイナンバー(ユーザーアカウント)、パスワードともにadminが設定(せってい)されていた。

　これは、説明書(マニュアル)に記載(きさい)されている、初期値(しょきち)の文字列(もじれつ)。同じ製造元(メーカー)の、全てのトンネル(ルーター)に同じ文字列(もじれつ)が設定(せってい)されている。

　初期値(しょきち)の文字列(もじれつ)は、製造元(メーカー)により異(こと)なる。

　Logitec(ロジテック)屋。

　マイナンバー(ユーザーアカウント)はadmin、パスワードもadmin。

　I-O DATA(アイオーデータ)屋。

　マイナンバー(ユーザーアカウント)はadmin、パスワードは空白(くうはく)。

　BUFFALO(バッファロー)屋。

　マイナンバー(ユーザーアカウント)はroot、パスワードは空白(くうはく)。

　という感じで、設定(せってい)されている。

　困ったことに、初期値(しょきち)のままになっているのは、特別(とくべつ)なことではない。

　アンケート調査(ちょうさ)によると、四割は初期値(しょきち)のまま利用(りよう)し、一割は認証(にんしょう)機能(きのう)の存在(そんざい)を知らない。そして四割は把握していない。

　驚(おどろ)くことに、意図的(いとてき)に変更(へんこう)している割合(わりあい)は、一割に留(とど)まる。

　初期値(しょきち)で利用(りよう)している割合(わりあい)を、最大値(さいだいち)の九割と仮定(かてい)する。この場合(ばあい)、製造元(メーカー)ごとの初期値(しょきち)をリスト化し、順番(じゅんばん)に試行(しこう)するだけで、十中八九(じっちゅうはっく)照合(しょうごう)に成功(せいこう)することになる。

　あくまで仮定(かてい)の話。とはいえ、照合(しょうごう)成功(せいこう)確率(かくりつ)が高いことは事実(じじつ)。侵入(しんにゅう)することを目的(もくてき)とする乱波(らっぱ)が、試行(しこう)しない理由(りゆう)は存在(そんざい)しない。

　当然(とうぜん)、真(ま)っ先(さき)に試行(しこう)する。

　照合(しょうごう)試行(しこう)は、単調(たんちょう)な作業(さぎょう)を延々(えんえん)と繰り返すだけ。手作業(てさぎょう)で行(おこな)わなければならない理由(りゆう)は無い。

　自動化(じどうか)すれば、試行(しこう)の手間(てま)は一切(いっさい)掛(か)からない。放(ほう)っておけば、照合(しょうごう)に成功(せいこう)した一覧(いちらん)が自動的(じどうてき)に生成(せいせい)され、侵入(しんにゅう)し放題(ほうだい)になる。

　初期値(しょきち)から変更(へんこう)しない行為(こうい)は、玄関(げんかん)に鍵(かぎ)を差(さ)し込(こ)んだ状態(じょうたい)で放置(ほうち)しているのと同(おな)じ。と、説明(せつめい)したところで放置(ほうち)されるのがオチ。

　帰蝶(きちょう)が変更(へんこう)し、設定(せってい)した文字列(もじれつ)を印字(いんじ)しておく。

　乱波(らっぱ)が攻撃(こうげき)を仕掛(しか)ける際(さい)に突(つ)くのは不具合(脆弱性)。

　トンネル(ルーター)のファームウェア(制御機構)バージョンを確認(かくにん)すると1.00(いち)だった。予想(よそう)はしていたけれど、一度(いちど)も更新(こうしん)されていない。

　最新(さいしん)状態(じょうたい)に更新(こうしん)し、全(すべ)ての修理キット(修正パッチ)を適用(てきよう)する。待っているだけで終わるのだから、敢(あ)えて更新(こうしん)しない合理的(ごうりてき)な理由(りゆう)は存在(そんざい)しない。

　現在(げんざい)までにトンネル(ルーター)の管制室(コントロールパネル)に入る機会(きかい)があったのであれば、ファームウェア(制御機構)の更新(こうしん)を行(おこ)なっているはず。

　何年(なんねん)もの間(あいだ)、入(はい)る必要(ひつよう)が無かったのであれば、認証時(にんしょうじ)の入力(にゅうりょく)文字列(もじれつ)を、複雑(ふくざつ)で長(なが)いものに変更(へんこう)することにより生(しょう)じる影響(えいきょう)は無いと確信(かくしん)する。

　もしも簡単(かんたん)な文字列(もじれつ)を設定(せってい)する場合(ばあい)、二〇二二年一〇月(ジュウガツ)一七日に東海国立(こくりつ)大学機構がサーバに侵入(しんにゅう)された手法(しゅほう)、総当たり攻撃《ブルートフォースアタック》の成功率(せいこうりつ)が高まる。短時間(たんじかん)で破(やぶ)れる認証(にんしょう)機構(きこう)は、無いのと同じ。

　〇から九の数字が一〇種、ａからｚまでの小文字英字が二六種(にじゅうろくしゅ)。ＡからＺまでの大文字英字も同数の二六種(にじゅうろくしゅ)。桁数(けたすう)が増える度(たび)、組み合わせパターン数は累乗(るいじょう)されていく。大文字小文字英字と数字を組み合わせた六二字を用いた、六桁の文字列(もじれつ)の組み合わせパターンは五六八億《ゴヒャクロクジュウハチオク》通(とお)り、八桁で二一八兆《にひゃくじゅうはっちょう》通(とお)りある。

　たった一桁増やすだけでも、組み合わせパターン数(すう)は膨(ふく)れ上がる。

　記号(きごう)を使えるのであれば、合致(がっち)するまでに要する時間を、大幅(おおはば)に長く出来る。記号(きごう)を含(ふく)めて試行(しこう)されなければ破(やぶ)られることは無いのだから、安全性(あんぜんせい)が格段(かくだん)に増(ま)す。

　複数種(ふくすうしゅ)の文字列(もじれつ)を使えば、安全性(あんぜんせい)が増すのは事実。でも、それは組み合わせを考える側(がわ)の話。

　問題(もんだい)は、阿呆(あほう)な製造元(メーカー)が存在(そんざい)すること。安全性(あんぜんせい)を増すためという名目(めいもく)で、複数種(ふくすうしゅ)の文字列(もじれつ)を『必ず』含(ふく)めなければならないという規則(きそく)を設(もう)けている。

　では、それのどこが阿呆(あほう)なのか。

　自(みずか)ら率先(そっせん)し、組み合わせパターンを減らしている。結果、合致(がっち)するまでに要する時間(じかん)を短縮(たんしゅく)させている。そのことに気付いてすらいない。

　乱波側(らっぱがわ)の視点(してん)が欠落(けつらく)していることが、大きな問題(もんだい)。

　全て数字、全て小文字英字、全て大文字英字の可能性(かのうせい)を否定(ひてい)することにより、試行(しこう)する組み合わせパターンを大幅(おおはば)に削減(さくげん)出来る。

　製造元(メーカー)が文字列(もじれつ)の組み合わせに、制約(せいやく)を加(くわ)える行為(こうい)は、愚(ぐ)の骨頂(こっちょう)。入力可能文字種《にゅうりょくかのうもじしゅ》を増(ふ)やし、複数(ふくすう)の文字種(もじしゅ)を用いることを推奨(すいしょう)するだけで十分(じゅうぶん)。

　安全性(あんぜんせい)を犠牲(ぎせい)にし、面倒(めんどう)さを増(ま)すことを組織(そしき)の総意(そうい)として、是(ぜ)と判断(はんだん)する製造元(メーカー)が構築(こうちく)したシステムには、当然(とうぜん)欠陥(けっかん)がある。

　欠陥品(けっかんひん)を見極(みきわ)め、適切(てきせつ)に取捨選択(しゅしゃせんたく)することは、リスクを排除(はいじょ)し、安全性(あんぜんせい)を高める手段(しゅだん)の一つ。とはいえ、住民(じゅうみん)に判断(はんだん)を委(ゆだ)ねるのは酷(こく)。だから今回(こんかい)は、その役目(やくめ)を帰蝶(きちょう)が担(にな)う。