こんなことエジプトのミラミッド工事現場の遺構から発見された落書きにもあったことだろう(ウソ)。デジタル情報の流出も大半が人為的ミスや窃盗や簡単なパスワードを類推されて悪用されたものだ。
逆に言うと、システムを強固に作っても、ログインIDとパスワードを付箋に書いてモニタに貼られていてはどうしようもない。
システムを強固にするためにセキュリティを強固にすればするほど抜け穴も増えるところだろう。パスワードの必要桁数を増やしたり種類を増やしたり(記号や数字を混ぜなければいけないなど)すると、PCに貼られる付箋の数が増えたり、使い回したりする人の数が増えるのは予想される。というより、思い当たる人は多いだろう。
それを防ぐために、SNSの認証を使うことが広まってきたが、これはどちらかと言うと、パスワードを保管せずにすることでサービス企業の個人情報漏洩リスクを減らすのが一番の効果だ。ユーザはパスワード使い回しと同じリスクを負うことになる。もし、そのSNSのパスワードが何らかのミスやクラッキング行為で誰かにバレたら、関連するサービス全てにログインできるようになる。
機密漏えいの最大原因、システム欠陥より人為ミスと指摘 : ギズモード・ジャパン
人は愚かな生き物なのです……。これさえ使っていれば絶対に大丈夫! 昨今のセキュリティ危機に対処すべく、独自のセキュアOSが搭載された「Blackphone」から、限りなくアナログな通信手段にいたるまで、数々の安全なコミュニケーションスタイルが推奨されてきましたよね。
でも、残念ながら、いくらシステム的には完璧なセキュリティを確保しても、もっとも怪しいのはユーザーとなる人間たちという悲しい現実が突きつけられていますよ。昨年末に米国ロサンゼルスで開催されたAnnual Computer Security Applications Conferenceにおいて、米アラバマ大学バーミンガム校の研究チームは、人為ミスによるセキュリティ危機拡大を実証する興味深い発表を実施。悲しきかな、人間の甘い対応が機密漏えいにつながっている実態が如実に明らかにされています。
例えば、通信アプリの「RedPhone」や「Signal」では、セキュアな通信が確立されたかどうかを認証するため、画面に表示された単語と、音声で読み上げられた単語がマッチングするかどうかを問う認証方式を採用中。聞き取った単語がスクリーン上の単語と同じであればセキュアな通信を開始できますが、マッチしない場合は盗聴の可能性があるので通信を切らねばならないというわけですね。
ところが、同研究チームが128名の参加者を対象に、この認証方式を模したテストを実施したところ、わずか2単語のマッチングを認証するだけなのに、3割のユーザーは、マッチしていなくても、お構いなしでセキュアでない通信を継続。逆に認証はマッチしているのに、聞き取りを誤って通信を遮断したユーザーも2割を超えました。
こうした認証方式では、より単語数を増やすことで、セキュリティレベルの向上が図られるのが常です。そこで、4単語のマッチングによる認証へ切り替えたところ、先ほどより多い4割のユーザーが、セキュアでない通信なのに構わず通信を継続するという、なんともお粗末な結果が出ていますよ。どうやら認証単語数が増えると、間の単語が少々異なっていても気にしないというケースが増えたほか、以前に正しい認証ワードを発声した人と同じ声が聞こえてくれば、それだけで認証は正しいと信じ込むユーザーが増加してしまったんだとか。
せっかくシステム的には、機密漏えいにつながる危機を十分に警告可能な仕様を備えていても、あえてその警告を無視しがちな人間の頼りなさ~。すでに今回の研究発表をベースに、音声認証が通るかどうか、人間ではなく機械に判断させる仕組みを確立する動きも強まっているとのことですね。もっとも信頼できないのは、自分も含めた周囲の人間というのが厳しい現実だったりするのかもしれません。