　トンネル（ルーター）の認証（にんしょう）に用（もち）いるマイナンバー（ユーザーアカウント）、パスワードともにadminが設定（せってい）されていた。

　これは、説明書（マニュアル）に記載（きさい）されている、初期値（しょきち）の文字列（もじれつ）。同じ製造元（メーカー）の、全てのトンネル（ルーター）に同じ文字列（もじれつ）が設定（せってい）されている。

　初期値（しょきち）の文字列（もじれつ）は、製造元（メーカー）により異（こと）なる。

　Logitec（ロジテック）屋。

　マイナンバー（ユーザーアカウント）はadmin、パスワードもadmin。

　I-O DATA（アイオーデータ）屋。

　マイナンバー（ユーザーアカウント）はadmin、パスワードは空白（くうはく）。

　BUFFALO（バッファロー）屋。

　マイナンバー（ユーザーアカウント）はroot、パスワードは空白（くうはく）。

　という感じで、設定（せってい）されている。

　困ったことに、初期値（しょきち）のままになっているのは、特別（とくべつ）なことではない。

　アンケート調査（ちょうさ）によると、四割は初期値（しょきち）のまま利用（りよう）し、一割は認証（にんしょう）機能（きのう）の存在（そんざい）を知らない。そして四割は把握していない。

　驚（おどろ）くことに、意図的（いとてき）に変更（へんこう）している割合（わりあい）は、一割に留（とど）まる。

　初期値（しょきち）で利用（りよう）している割合（わりあい）を、最大値（さいだいち）の九割と仮定（かてい）する。この場合（ばあい）、製造元（メーカー）ごとの初期値（しょきち）をリスト化し、順番（じゅんばん）に試行（しこう）するだけで、十中八九（じっちゅうはっく）照合（しょうごう）に成功（せいこう）することになる。

　あくまで仮定（かてい）の話。とはいえ、照合（しょうごう）成功（せいこう）確率（かくりつ）が高いことは事実（じじつ）。侵入（しんにゅう）することを目的（もくてき）とする乱波（らっぱ）が、試行（しこう）しない理由（りゆう）は存在（そんざい）しない。

　当然（とうぜん）、真（ま）っ先（さき）に試行（しこう）する。

　照合（しょうごう）試行（しこう）は、単調（たんちょう）な作業（さぎょう）を延々（えんえん）と繰り返すだけ。手作業（てさぎょう）で行（おこな）わなければならない理由（りゆう）は無い。

　自動化（じどうか）すれば、試行（しこう）の手間（てま）は一切（いっさい）掛（か）からない。放（ほう）っておけば、照合（しょうごう）に成功（せいこう）した一覧（いちらん）が自動的（じどうてき）に生成（せいせい）され、侵入（しんにゅう）し放題（ほうだい）になる。

　初期値（しょきち）から変更（へんこう）しない行為（こうい）は、玄関（げんかん）に鍵（かぎ）を差（さ）し込（こ）んだ状態（じょうたい）で放置（ほうち）しているのと同（おな）じ。と、説明（せつめい）したところで放置（ほうち）されるのがオチ。

　帰蝶（きちょう）が変更（へんこう）し、設定（せってい）した文字列（もじれつ）を印字（いんじ）しておく。

　乱波（らっぱ）が攻撃（こうげき）を仕掛（しか）ける際（さい）に突（つ）くのは不具合（脆弱性）。

　トンネル（ルーター）のファームウェア（制御機構）バージョンを確認（かくにん）すると1.00（いち）だった。予想（よそう）はしていたけれど、一度（いちど）も更新（こうしん）されていない。

　最新（さいしん）状態（じょうたい）に更新（こうしん）し、全（すべ）ての修理キット（修正パッチ）を適用（てきよう）する。待っているだけで終わるのだから、敢（あ）えて更新（こうしん）しない合理的（ごうりてき）な理由（りゆう）は存在（そんざい）しない。

　現在（げんざい）までにトンネル（ルーター）の管制室（コントロールパネル）に入る機会（きかい）があったのであれば、ファームウェア（制御機構）の更新（こうしん）を行（おこ）なっているはず。

　何年（なんねん）もの間（あいだ）、入（はい）る必要（ひつよう）が無かったのであれば、認証時（にんしょうじ）の入力（にゅうりょく）文字列（もじれつ）を、複雑（ふくざつ）で長（なが）いものに変更（へんこう）することにより生（しょう）じる影響（えいきょう）は無いと確信（かくしん）する。

　もしも簡単（かんたん）な文字列（もじれつ）を設定（せってい）する場合（ばあい）、二〇二二年一〇月（ジュウガツ）一七日に東海国立（こくりつ）大学機構がサーバに侵入（しんにゅう）された手法（しゅほう）、総当たり攻撃（ブルートフォースアタック）の成功率（せいこうりつ）が高まる。短時間（たんじかん）で破（やぶ）れる認証（にんしょう）機構（きこう）は、無いのと同じ。

　〇から九の数字が一〇種、ａからｚまでの小文字英字が二六種（にじゅうろくしゅ）。ＡからＺまでの大文字英字も同数の二六種（にじゅうろくしゅ）。桁数（けたすう）が増える度（たび）、組み合わせパターン数は累乗（るいじょう）されていく。大文字小文字英字と数字を組み合わせた六二字を用いた、六桁の文字列（もじれつ）の組み合わせパターンは五六八億（ゴヒャクロクジュウハチオク）通（とお）り、八桁で二一八兆（にひゃくじゅうはっちょう）通（とお）りある。

　たった一桁増やすだけでも、組み合わせパターン数（すう）は膨（ふく）れ上がる。

　記号（きごう）を使えるのであれば、合致（がっち）するまでに要する時間を、大幅（おおはば）に長く出来る。記号（きごう）を含（ふく）めて試行（しこう）されなければ破（やぶ）られることは無いのだから、安全性（あんぜんせい）が格段（かくだん）に増（ま）す。

　複数種（ふくすうしゅ）の文字列（もじれつ）を使えば、安全性（あんぜんせい）が増すのは事実。でも、それは組み合わせを考える側（がわ）の話。

　問題（もんだい）は、阿呆（あほう）な製造元（メーカー）が存在（そんざい）すること。安全性（あんぜんせい）を増すためという名目（めいもく）で、複数種（ふくすうしゅ）の文字列（もじれつ）を『必ず』含（ふく）めなければならないという規則（きそく）を設（もう）けている。

　では、それのどこが阿呆（あほう）なのか。

　自（みずか）ら率先（そっせん）し、組み合わせパターンを減らしている。結果、合致（がっち）するまでに要する時間（じかん）を短縮（たんしゅく）させている。そのことに気付いてすらいない。

　乱波側（らっぱがわ）の視点（してん）が欠落（けつらく）していることが、大きな問題（もんだい）。

　全て数字、全て小文字英字、全て大文字英字の可能性（かのうせい）を否定（ひてい）することにより、試行（しこう）する組み合わせパターンを大幅（おおはば）に削減（さくげん）出来る。

　製造元（メーカー）が文字列（もじれつ）の組み合わせに、制約（せいやく）を加（くわ）える行為（こうい）は、愚（ぐ）の骨頂（こっちょう）。入力可能文字種（にゅうりょくかのうもじしゅ）を増（ふ）やし、複数（ふくすう）の文字種（もじしゅ）を用いることを推奨（すいしょう）するだけで十分（じゅうぶん）。

　安全性（あんぜんせい）を犠牲（ぎせい）にし、面倒（めんどう）さを増（ま）すことを組織（そしき）の総意（そうい）として、是（ぜ）と判断（はんだん）する製造元（メーカー）が構築（こうちく）したシステムには、当然（とうぜん）欠陥（けっかん）がある。

　欠陥品（けっかんひん）を見極（みきわ）め、適切（てきせつ）に取捨選択（しゅしゃせんたく）することは、リスクを排除（はいじょ）し、安全性（あんぜんせい）を高める手段（しゅだん）の一つ。とはいえ、住民（じゅうみん）に判断（はんだん）を委（ゆだ）ねるのは酷（こく）。だから今回（こんかい）は、その役目（やくめ）を帰蝶（きちょう）が担（にな）う。