珍しく本業の告知になりますが来週金曜19時から東京ミッドタウンでパネル討論のモデレーターをさせていただきます。パスワードの話は掴みで、この先ユーザーの識別・アクセス管理でどんな課題があるんだろうねって展望をゆるふわダラダラ1時間くらい談笑する予定です。
パネルディスカッション「スマデバ時代ぼくらは幾つパスワードを使うのか 」
SSL/PKIはなぜ危機に陥ったのか、二要素認証やバイオメトリクスは流行るのか、僕らは10年後いくつのパスワードを使い分けてるのか、スマデバで普通に使えるアクセス管理へ向けた課題を展望する。
昔からPKIの理論的脆弱性は指摘されていましたが、2011年からDigiNotar、comodo、今年に入ってからのTURKTRUSTと認証局のチョンボが続いています。不正に発行された電子証明書はイランで通信傍受に使われたっぽいし、Flame事件ではコード署名の仕組みを騙してウイルス配布・通信傍受に使われた形跡がみつかったり、かなり香ばしい状況です。いまのところ中東が主な悪用の舞台ですが、東アジアもだんだんキナ臭くなってるんで、この先どうなるかは分かりませんね。
「サイバー攻撃ツールとしての公開鍵証明書の役割 〜信頼の起点にカモフラージュされた攻撃の起点〜」/神田 雅透 氏
Webエンジニアの多くは空気のようにSSLを使ったりスマデバのプラットフォームに依存してて、普段はPKIなんか意識しないだろうけど結構ヤバいことになってる訳ですよ実は。しかも偽装された証明書の多くは認証局の事故報告や監査ではなくChromeを通じたGoogleによる監視で検出された訳で、そもそもPKIの間接信頼モデルの綻びがGoogle一極集中のお陰でたまたま見つかったのは信頼モデルとしてどうなんだって議論もありまして。もうWeb PKI即ちSSLは信用できないけどGoogle様が目を光らせてるから大丈夫かもねって状況です。
一方で昨年末に日本でも随分な人数がGMailアカウントを乗っ取られたようで、これも騒ぎになった際は報道されたけれど、どれくらいの人数が乗っ取られたのか、何が原因だったのかは未だ明らかにされていません。ヤフーやマイクロソフトのように国内で届出を行っている通信事業者であれば総務省への報告・公表義務があるので事故の概要を知ることができるのですが、グーグルにはその義務もありません。
このアカウント乗っ取りは自分の周りでも割とコンピューターに詳しい人々が結構引っ掛かっていて、こんな方々が簡単にフィッシング詐欺に引っ掛かるとも思えないんだけど、彼らはアーリーアダプターでもあって色んなサービスを使ってるだろうから、同じパスワードを使い回してたのがどっかで漏れたんじゃないの?って憶測もあるようです。そういわれると胸に手を当てて考えてしまいますが、何台もスマデバを使っててパスワードを全て変えて機械的に管理するにはクラウドサービスが必要だけど、そのアカウントを乗っ取られたら丸裸って靴紐状態に置かれて悩ましいところです。
そういう訳で来週金曜は当初「オンライン・パスワードの発明から52年目、僕らは10年後にパスワードを卒業できているのか」って議論をするつもりだったんだけど「よく考えたらPKIに移行してもPEMの保護とかにパスワードを使うよね」「だいたいSSLやスマデバを支えるPKIだって信頼できなくなってるよね」「二要素認証だって悪意あるアプリにSMSへのアクセスとか変な権限を与えてるとOTPが抜かれちゃうじゃん」「静脈認証だって大根で抜けちゃうぜ」「改めて考え直すとトークンでありクレデンシャルであり意思確認になってプロトコルにそのまま載るパスワードってホント偉大だよね、PKIのクライアント証明書も生体認証もパスワードの果たしている機能の一部しか代替できないから、そう簡単にはなくならないんじゃない」って堂々巡りになって結局「スマデバ時代ぼくらは幾つパスワードを使うのか 」ってところに着地したのであります。まだ50人ちょっと定員が残ってるので興味を持った方は登録をお待ちしております。