Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

千夜一夜物語はサイバーセキュリティ教材

パスワードを調べる方は必ずたどり着くと言われているのが、世界最古のパスワードと呼ばれる「開けゴマ」。カスペルスキーの記事は真剣にこの有名な寓話を分析していました。

アリ・ババと四十人の盗賊 (アラビアン・ナイト)

アリ・ババと四十人の盗賊 (アラビアン・ナイト)

  • 作者:斉藤 洋
  • 発売日: 2005/02/01
  • メディア: 単行本
 

 

アリババと40のサイバー脅威(7/14カスペルスキーブログ記事) ※日本語記事です

 

 

キタきつねの所感

先週の記事を読んで、改めて感じたのは「アリ・ババと40人の盗賊」はセキュリティ教材となりえるという事でした。

 

まず記事では世界最古のパスワード(※所説あります)とも言われる「開け、ゴマ!(Open Sesame)」を取り上げています。

物語の冒頭で、盗賊の頭領が入り口に立って大声で「開け、ゴマ!」と言うシーンがあります。この時点ですでに、複数の問題が明らかです。まず、パスワードが単純すぎます。次に、2段階認証が使われていません。それどころか、ユーザー名も使われていません

さらによくないのは、パスワードがオープンなチャネルで伝送されている点です。近くで薪を集めていたアリババは、何の気なしにその言葉を耳にします。アリババは盗賊たちが去った後、よからぬ意図もなく、ただ好奇心から、そのパスワードを試します。しかし、洞窟をふさいでいた岩が開いたとき、洞窟の中に入ったアリババは、財宝の一部を持って行ってしまいます。

Kaspersky dailyブログ記事より引用)

 

いきなり、そこを突いてきますか

 

しかし開けゴマ(Open Sesame)は、文字数として10文字、辞書単語の組み合わせですが、意味の無い単語同士の組み合わせなので、(当時は)比較的強度の強いパスワードだったかと思います。

個人的にはパスワードの単純性は、NISTガイドラインでもセーフな気がします。

 

2段階認証・・・えーっと。この時代に洞窟にスマホ利用やIDゲート設置って出来ましたっけ?

 

ユーザ名(ID)が無いのはその通りなのですが、MITでID+パスワードの仕組みが考えられたのが1960年代ですので、これもセキュリティ要件がきつい気がします。(その分パスワードを長くするべきだったかも知れません)

 

2段階認証より、私はむしろ共通鍵(パスワード)の脆弱性を、この物語から読み取るべきだった気がします。秘密にすべき鍵を知る人数が増える事によって脆弱性が増える、そんな事も十分学べる気がします。

 

 

もう1つ記事の中で気になったのが現代でも大きな問題となっている「パスワード忘れ」問題です。

次に起きた出来事は、私からすると、少々とってつけた感じがします。アリババはすべてをカシムに打ち明け、例のパスワードを教えます。カシムは、例の洞窟へ入ります。ところが、カシムはパスワード(出るときにも必要です)を忘れ、閉じ込められてしまい、戻ってきた盗賊たちに見つかって首をはねられてしまいました。

Kaspersky dailyブログ記事より引用)

 

アリ・ババの兄カシムは、あまり記憶力が良くなかった様です。現代人の様に10も20ものパスワードを管理する必要があるのに比べて、秘密のパスワードも1つなのに、忘れて洞窟に閉じ込められてしまったのですから。

パスワードを忘れると、場合によっては生死にかかわる事もあるので、しっかり(パスワード管理ソフトで)覚えておく必要がある、セキュリティ啓蒙としては良いたとえ話になるのではないでしょうか。

 

 

余談ですが、この時代に洞窟に音声検知の自動ドアを設置する技術は素晴らしいものがあると思います。

 

また、「女奴隷モルジアナ」が居なかったら、アリ・ババが盗賊に簡単に復讐されていた事は間違いなく、優秀なセキュリティ人材(又は監視ツール)が重要であると言う教訓話なのかも知れません。(ご興味ある方は下記wikiのあらすじを読んでみて下さい)

アリババと40人の盗賊 - Wikipedia

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

アリババと40人の盗賊のイラスト

 

更新履歴

  • 2020年7月20日 PM(予約投稿)