サエバサバエのちょっとセキュアなお話、あるいは、呑み女子エンジニアのだらしない食卓

第2話 そんなパスワードで大丈夫？ あるいは、横綱手前のカップ酒と鯖味噌缶定食

「え？　アカウントが乗っ取られた？」

　弊社のサポート窓口に掛かってきた電話に緊張が走る。

　どうやら、うちが提供するサービスのアカウントに入れなくなった上に、友人知人にそこから変なメッセージが送られているらしい。

　典型的な乗っ取り攻撃ね。

　あたしも関わっているシステムだけに、気になるわね。

　とりあえず、初動として管理者権限でシステム側からパスワードリセットして、攻撃者から入れないようにしないと。

　とはいえ、電話口の相手が本人とは限らないから安易な管理者権限の行使は危険よ。本人確認、大事。

　電話口に解らないように社内チャット経由で応対中の窓口担当の後輩に本人確認の指示を出す。結果、お客様が電話口で告げた情報をデータベースと照会したところ、本名も発信元の電話番号も登録情報と一致してるということ。

　電話ごとアカウント盗まれてる可能性まで考えたらどうしようもないし、そこを疑いだしたらSMS認証（携帯に認証用ショートメッセージが届いて番号とか入れさせる奴ね）が成立しないわね。完全無欠の認証なんて存在しないのが人間の限界よ。ここまでの情報で、本人と判断しておきましょう。

　管理者権限で当該ユーザのアカウントを一時停止して、パスワードを再設定するための手順を登録されているメールアドレスに送信。本人なら、これを受け取れるはずよね？

　どうやら、すぐにメールは受信されてアカウントは取り戻せたということなんだけど、それでもお客様は大層ご立腹の様子。電話は未だ続いていた。

　うちのセキュリティがなってないからこういう事態を招いたのだと感情的に罵詈雑言を浴びせているようで、サポート担当の後輩がしきりに頭を下げている。

　窓口担当が若い女子だからって舐めてるのかしらね。

　いくらお客様相手だからといって、電話口でずっと罵声を浴びせられる拷問に付き合わされる義理まではないわ。社内チャットで指示を出し、

「申し訳ございません。詳しい原因の調査を行って後ほど、折り返しご連絡いたします」

　って感じで電話を切らせる。

　今度はあたしにしきりに頭を下げる後輩だけど、

「いいのよ。後は任せておいて」

　と言って窓口の業務に戻らせる。次は、変なお客様に当たらないでね。

　さて、指示を出した手前、ここからはシステム担当のあたしのお仕事よ。

　まずアクセス関連のログを確認したところ、攻撃らしい攻撃を受けた形跡はない。ま、パスワードリスト攻撃だと正しいパスワードで認証する＝無駄なアクセスがないので、システム的に不正アクセスか正規のアクセスかどうかは判断しづらいのよね。

　せいぜいアクセス元が違うログインがあったって警告をユーザに送るのが限度。

　今回も、このユーザに警告メールが届いて確認したらログインできず、同じサービス利用してる友人達に変なメッセージが届いてたってのが発覚してサポートに電話、って流れみたいね。

　あ、『パスワードリスト攻撃』っていうのは、どこかのサービスから流出したパスワードを、他のサービスで試してみるって攻撃。文字通りね。

　多分、大きなニュースにならない小規模サイトから流出したパスワードとかが引っ掛かったんでしょうね。

　ただ、ちょっと不可解なのは、他のユーザではそういう事象は起こっていないということ。

　変なメッセージというのも、定番の詐欺サイトへの誘導リンクとかを含む物ではなく、アニメの台詞なんかを引用した意味不明なメッセージばかり。

　こういうのって、同じようなメッセージが大量に送信されるのが定番なのに、変ね？

　っていうか、これ、本当にパスワードリスト攻撃かしら？

　そうだったら問い合わせが殺到してサポート窓口が混乱しそうなものなのに、さっきのお客様以外は全然アカウント乗っ取り関連の問い合わせはないみたい。

　たまたま攻撃に当たった人が少ないってのも考えられるけど、他の可能性はないかしら？

　ちょっとお客様の情報を確認してみる。

　あ、この人、うちのシステムのアカウントと紐付けられている某有名 SNS のアカウントで、特定のアニメキャラのことを熱く語ってるわね。アイコンもそのキャラみたい。

　更に、誕生日を何日も前からカウントダウンして当日にはリアルにケーキを買ってお祝いしてるし。

　どういう形であれ、好きを好きって公言できるのは、いいことね。

　って、ついつい余計なユーザの情報を覗いちゃったわね。こういうのは職業倫理的によろしくない……んだけど。

　SNS の方を見ていて、ちょっと気になることが出てきた。もし、あたしの予想が当たっているとすると、早急に対処してもらわないとヤバイかも。

　というわけで、報告のお電話、いれましょう。

　定番のご挨拶をして、

「システム担当の小枝葉（さえば）です」

　と名乗ったところで、再びこちらのシステムがなってないだの話を聞かずに言ってくるけれど、とりあえず罵詈雑言はスルー。スルースキル大事。

「お客様のアカウントが乗っ取られた件につきまして、調査の結果、当システムのパスワードの流出は発生しておりません。また、お客様のアカウント以外で被害にあっているアカウントも今のところございません」

　淡々と事実を報告する。

　そもそもの話としてうちのパスワードが流出してたらどうしようもないんだけど、それはないと断言できる。機密データへのアクセスログは厳格に記録されてるからね。ログまで改竄されたら解らないけど、そこまでされて気付かれないほどうちのインフラは柔じゃない。

　もう一つの傍証は、他のお客様からの問い合わせがないってことね。もしも流出してたら、さすがに一人だけってことはないでしょうから。

　論理的帰結ではあるんだけれど、お客様は全くこちらの説明に納得してくれない。「サイバー攻撃を防げなかったのをごまかすな」というような内容を延々激しい口調で責め立ててくるばかり。

　これはあれこれ理詰めで説明しても聞いてもらえそうにないし、さっさと本題に入るべきね。

「もしも、お客様がご自身の誕生日などをパスワードに設定していた場合、第三者に見破られる可能性もありますが」

「いや、自分の誕生日を使わないなんて、常識だろ？」

　鼻白んだような、不機嫌を隠さない声でお客様。それぐらいのリテラシーはあるみたいだけど、半可通が一番困るというか危険なのよね。

「それでは、ご自身のではなく、例えば身近な人や、好きなアニメなどのキャラの誕生日などをはお使いではないでしょうか？　失礼ながら、調査の過程で足跡を辿らせていただいたところ、大層お好きなキャラがおられるようでしたので……」

　勝手に他の SNS を見たのは決まりが悪いので言葉を濁しつつ、さっさと核心を告げることにする。

「もしかしたら、XXXXXXXXXXというようなパスワードを使われていたのではないでしょうか？　もしそうでしたら、簡単に推測されてしまうのではないかと危惧しておりまして」

　あたしが短時間で行き着いた可能性を告げると、

「え、な、なんで解……い、いや、えっと、それは……」

　目に見えて狼狽した様子。ビンゴ、かしらね。

「って、どうせデータベースか何かから見たんだろうが」

　だからこそか、開き直ったご様子。ま、そう思われるのも仕方ないし、信じてもらえるかは解らないけど、相手が感情的なときは、こちらは冷静に淡々と事実を告げた方がいいわね。

「申し訳ございません。私どもが調査した時点では、既にパスワードは別のものに変更されておりましたのでデータベースからは確認いたしかねます。また、弊社のシステムではお客様のパスワードは暗号化しておりますので、元のパスワードはシステム管理者でも解らないようになっておりまして……先ほどのパスワードは、純粋に推測で申し上げたものとなります」

「なんだ、お前は名探偵か！」

　さっきまでの罵詈雑言の流れだけど、なんか褒められたみたいになった。

　言葉は強いが、パスワードを言い当てられたことで大分動揺してるみたいね。

「いいえ。一介のシステム屋でございます。ただ、名探偵でなくとも、ミステリを嗜む程度の推理力があれば、容易に辿り着くパスワードかと」

　そこまで言って、ようやくお客様に自分のパスワード設定の甘さに意識を向けていただけたみたい。

　感情的な反論はなく、言葉に窮している様子。　

　ただ、あたしは何も後輩を苦しめたお客様をやり込めて溜飲を下げたいんじゃない。いや、そういう気持ちが全くないわけじゃないけど、それよりも。

「あの、失礼ながら他のサイトでも同じパスワードを利用されていませんか？　もしそうでしたら直ちに変更してください。他のサイトも乗っ取られる恐れがあります」

　この危険性を伝えたかったの。

　別のサイトから流出したパスワードリストなんかなくっても、バレるときはバレるもの。特に、こういった普段の言動から推測されるパターンは、ある意味パスワードを垂れ流してるようなもの。推測されて当てられたらおしまい。

　当然、使い回してたら別のサイトで試されるのも時間の問題。だから、二次被害、三次被害が起こる前に、伝えたかったの。

　因みに、あたしが告げたのは、このお客様が SNS でやたらとプッシュしていたキャラの名前と誕生日を繋げたもの。

　そこに辿り着いたのは、この人の SNSのアカウントがハンドルネーム＋誕生日だったから。

　ただ、注意して欲しいのは、パスワードに好きなキャラの誕生日を使ったのが問題じゃないってこと。別にそういうパスワードの作り方自体は悪くない。

　そうじゃなくって。

「誕生日とかだけではなく、普段の言動から推測が付くパスワードも避けた方がいいですよ。ちょっとした暗号解読感覚でパスワード当てちゃう人っていますから」

　ということ。炎上したら簡単に個人情報突き止められたりするご時世、普段の言動に紐付いたパスワードだったら簡単に破られると思った方がいい。

　なぜ、暗証番号やパスワードに自分の誕生日がダメなのかっていうと『簡単に推測が付くから』。つまり、パスワードに自分の誕生日を使わない目的は、『推測が付かないパスワードにしましょう』ってこと。

　あくまで、誕生日を使わないのは手段。

　目的は推測されないパスワードを使うこと。

　ここを理解してないと、うっかりやっちゃうパターンね。

　勿論、推測できたからってそれでログインしてアカウント乗っ取るのは悪いこと。

　一方で、身を守る術を学ぶことは意味のあること。

　暴漢に襲われたら運が悪かったと諦めて暴力に屈する必要なんてない。護身術を駆使してぶちのめせるならそれに越したことはないわよね？

　そういうこと。

　これは自己責任論じゃなくて、『備えあれば憂いなし』ってだけの話だから誤解しないでね。

　まとめると、

●誕生日とかだけじゃなく、日常の言動から推測が付いてしまうようなパスワードは避けましょう

　ってこと。

　また、二次被害、三次被害を防ぐためにも、

●パスワードの使い回しは止めましょう

　こういうと「サービスごとに違うパスワードなんて覚えられるか！」って人もいるけど、これ、完全に違う必要はないの。パスワードって一文字でも違えば通らないからね。

　だから、共通のパスワードにサービスごとに固有のパターンを組み合わせるとかぐらいで、比較的覚えやすくて推測されにくいパスワードは作れるものよ。

　サービスを提供する側に好き放題文句言う前に、そういったユーザ側の予防策も少しは考えて欲しいと思うのは、システム屋の傲慢かしら？　パスワードがバレてしまった場合は、システム的に正しいパスワードで認証されるから、それが本人かどうかの判別までは困難なの、解って欲しいかなぁ。

　と、愚痴っぽい内容は伏せつつ、可能な限り説教臭くならないように細心の注意を払ってお客様に説明して、このインシデントは解決となったわ。

　そうこうする間に定時も過ぎちゃってた。

　社内の問い合わせ管理のシステムに対応内容を登録して各所に報告したところで、応対していた後輩があたしのところにやってきた。

　何かお礼がしたいということ。

　とはいえ、あたしはあたしの仕事をしただけだから、そうね。

「じゃ、呑みに付き合って」

　って提案したんだけど、

「それだけは勘弁して下さい……で、では、本当に、今日はありがとうございました」

　深々と頭を下げて、逃げていっちゃった。あれ？　なんで？

　ま、無理強いしてもしょうがないわ。誰かと呑むお酒は楽しいけど、やっぱり何より、呑んでるみんなが美味しく沢山呑めないなら、仕方ないからね。

　諦めて、今日は帰ってお家でご飯を食べましょう。

「大したものがないわね」

　色とりどりの飲物の缶や瓶が詰まった冷蔵庫に、食材はまばら。買い物してくればよかったんだけど、また出かけるのも億劫だわ。

　なら、ありあわせでしのぐとしますかね。

　ご飯は冷凍保存してあるので炊かなくて大丈夫。

　インスタント麺は、ちょっと気分じゃないから……あ、鯖缶があるわね。これでいいんじゃないかしら？

　備蓄食料を眺めてイメージを高め。

　早速調理に取りかかる。

　まずは、一膳分ずつラップして冷凍したご飯をレンジで解凍する。三分ぐらいでいいかしらね？

　並行して、電子ケトルでお湯も沸かしておく。

　これで主食と一汁。

　その間に、メインとなる鯖の味噌煮缶をお皿に出して、冷蔵庫に使えそうな食材がないか当たりを付けておく。

　ついでに、お魚に合いそうな飲物があったので冷蔵庫から取り出す。

　蓋が閉まるコップに入った相撲取りの階級のような名称の定番のお酒ね。やっぱり、お魚には日本酒よ。

　解凍を待つ間、取り急ぎ開けたカップを傾けて喉を潤しておく。

　ご飯が解凍できたら、次に鯖の方をレンジで軽く温める。こっちは一分ぐらいね。

　その間に、お椀に夕飯のような名前の生味噌タイプのインスタント味噌汁の元を入れる。そこに、沸かしておいたお湯を少量注いでしっかりと味噌を溶いてから、適量までお湯を足して伸ばす。いきなりお湯をドバッと入れちゃうと、ダマになったりするから、こうした方がよく溶けていいのよ。

　鯖が温まったところで。

「こうすれば、それなりよね」

　冷蔵庫にあった刻みネギをパパッとふりかけ、チューブの生姜を添える。

「あ、あとお野菜も食べた方がいいわよね」

　冷蔵庫の野菜カゴで眠ってたコンビニで売ってる洗わずに食べられるコールスローを小型のボウルに適当に盛りつけて、適当な調味料をかける。

　空いたカップをコンビニ袋に詰めて追加のカップを取り出して、ご飯、味噌汁、鯖味噌煮、コールスローと一緒に食卓に並べれば、

「うんうん。ありあわせだけど、ちゃんとそれっぽくなったじゃない」

　鯖味噌缶定食のできあがりよ。

「いただきます」

　最初はお野菜からいただくのが健康にはいいらしいから、それに従う。お箸でつまんで口に運べば、さっぱりした酸味が心地いい。

　うん、やっぱりお野菜にはポン酢ね。ドレッシングよりもヘルシーな感じでしょ？　大筋、和風ノンオイルドレッシングと似たようなものだから、サラダには酢醤油かポン酢を愛好してるわ。

　続いてメインに。

　脂でトロトロの身を箸で割って頬張る。

「ああ、お米が進む味ね」

　鯖の旨みがぎゅっと詰まりつつ臭みは味噌で軽減された上に、過剰な甘みはネギと生姜の風味で柔らかくなってる。

　鯖缶は皮から骨まで丸ごと食べられる分、生の鯖を調理して食べるより手軽に高い栄養価が得られる上に、この美味しい脂はむしろ身体にいいってのが嬉しいわね。

　お米がどんどん進んじゃうわ。

　いいわ、欲望に従おうじゃないの。

　ときおり、おだしの利いた味噌汁で変化を付けつつ、米を摂取し、箸休めにコールスローを食べつつ、お米を飲み込んでいく。

　そうすれば、あっという間にコールスローも味噌汁も鯖もなくなっちゃって。

　ふと、気付いたの。

「あ、ご飯が全然進んでないわね」

　おかずに夢中ですっかり忘れてたわ。

　でも、大丈夫。

「このお汁……絶対美味しいわね」

　鯖を入れていたお皿の底に残る、鯖脂たっぷりの味噌ダレ。これがあれば、いける。

　お行儀なんて気にする必要のないおうちご飯。

　お皿をお茶碗に傾けて、回しがけ。

　お汁を吸って少しゆるくなったご飯を、かき込むようにいただく。

「うん、やっぱりお魚にお米は最高ね」

　液体のお米で喉を満たしつつ、ご飯粒一つ残さずしっかりと食べ切った。

　最後に、日本酒を一杯飲んで存分に食の余韻に浸り。

　食器を洗い桶につけ、空いたカップを纏めてコンビニ袋に収める。

　しっかり食べたから、少ししてから洗い物はするとして。

　これにて、今日の夕食は終了。

「ごちそうさまでした」