そろそろYubikeyについて語ろう!
僕が2023年に大がかりな悪玉ハッカーにやられて、大変な10ヶ月を過ごしたことは、前回の記事
に詳しく書いてありますので、まだお読みでない方、読んだけど忘れた方はまずそちらをお読みください。で、それを前提に今日の記事をお読みいただければ、と思います。
今回の記事のトップ画像は、今僕が使っているキーホルダーです。「戸越銀座」のキーフォルダーは、ピンク色でなんとなく可愛いので付けているだけで、何の意味もありません。新しい我が家は都営浅草線の戸越駅か、東急大井町線の戸越公園駅の方が近くて便利なのですが、ネーミングに惹かれてついアクセサリーを買ってしまいました。
いわゆる昔からある金属製の差し込むタイプの鍵は二つだけ。我が家はダブルロックなので二つありますが、ほとんど使うことはありません。SwitchBot社ののオートロックになっているので、指紋認証でワンタッチで解錠できます。家を出るときは2秒後に自動施錠されるので、鍵の出番はありません。バックアップ用に暗証番号もありますが、使ったことはありません。
あとはキーホルダーをどこに置いたか忘れてしまった時のために、AppleのAirTagを付けてあります。iPhoneやMacで「探す」アプリを使えば、GPSで正確な位置を教えてくれます。これもまだ使っていません。でもこれもボケてきたら必要になるでしょう。AirTagは2代目ですが、注意点としてはバッテリーの交換ができないと言うことです。
一代目のときにバッテリーが無くなってきたので、CR2032というリチウムバッテリーと交換しようとしたら、どんな工具を使っても作業ができない構造になっていて、やむをえず新しいのAirTagに買い替えました。まあApple社としては、4000円そこそこの物だし、お買い換えいただくしか、、、という所なんでしょう。
さて残るは二つ。KIOXIA(旧東芝)のおなじみUSBメモリーです。これは自宅にプリンターやスキャナーを持たない僕としては、ちょっとした書類のプリントアウト、スキャニングにローソンを使うので、そういった情報の持ち運びに欠かせません。一番重宝したのは、フィルム時代の昔の紙焼きの写真をスキャニングして、JPEGデータとして持ち帰ることです。先月書いた
80年代タイ飛球の旅(シリーズ6日)もフィルム時代の写真で構成しています。
6本も40年前のフィルム写真をスキャニングして書いた記事です。何かとデジタル時代に欠かせないUSBメモリーですが、64GBもあればほとんどいっぱいになることはありません。以前僕が持ち歩いていた、前世紀の遺物みたいな鍵束をお見せしておきましょう。
いよいよ残るは黒い筐体に「y」のロゴが入った、なんの変哲もないUSBデバイスです。これが僕の情報セキュリティーを担保してくれ、夜も寝ずに悪玉ハッカーとパスワードの書き換え合戦を続けていた僕を救ってくれた、まさに命の恩人です。
一般には物理セキュリティキー、とも呼ばれます。当時はApple社は正式に認証していませんでしたが、米国のApple社に電話で問い合わせたところ「例えばYubikeyとか、使える場合もあります」という一言を引き出したのでした。
さっそくスウェーデンにある本社から50ドルほどのブツを3つ取り寄せました。さらに大阪にいるスタッフにも2つ送り、Windows環境での検証もしてもらいました。なぜ2つとか3つなのか、というとこのYubikeyというのは、どんなパスワード攻撃にも晒されない半面、ブツを無くしたら自分でもログインできなくなります。だから普段使い用の1個と、予備の1個を最低でも自宅と職場、あるいはキーホルダーと金庫の中、と複数必要なのです。
これは今では一般的になっている2FA、MFAと呼ばれる多要素認証の要なのです。
- パスワード認証(知的情報認証)
- 生体認証
- 所有認証
このうち、パスワード認証は全く何の役目も果たしません。特に数字4桁とか(銀行の暗証番号など)数字8桁などは意味がありません、AIが総当たりで0.5秒で発見されてしまいます。マイナンバーカードの16桁英数も、覚えるのに苦労された方もいらっしゃるかと思いますが、これも一時しのぎにすぎません。
少しでも複雑なパスワードにしたければ、数字は1つくらいにして、あとの15桁をランダムな英字にすることです。数字なら10通り、英字なら26通りあるからです。なんとマイナンバーカーの署名用16桁は、英字を大小区別しません。全部大文字です。せめて英大文字小文字を区別すれば、52通りに増えるのでマシなのですが。
どちらにしてもAIにとっては時間稼ぎに過ぎません。そもそも高齢者の方などが16桁も覚えられるものでしょうか。うちの母親は4桁覚えるのに四苦八苦していました。人間が暗記できる数字の暗証番号は4桁か、せいぜい8桁が限度だと僕は思っています。
日本のセキュリティー行政は、これで大丈夫なのでしょうか?
さて生体認証は比較的安全とされていて、iPhoneの顔認証や、指紋認証でログインされている方も多いかと思います。ただこの規格については、各社とも仕様については非公開であり、AIによってまもなく破られると言われています。
携帯電話番号を登録しておき、SMSで送られてくる6桁程度の番号を10秒内に入力する、という2FAが、今のところ主流ですが、これもなかなか面倒なわりに、携帯を盗聴されたらおしまいという欠点を持っています。僕が去年悪玉ハッカーにやられたときは、携帯番号も盗聴されていました。
そこから僕を救い出してくれたのがYubikey。所有認証(いわゆる物理キーです)。これは極めて盤石であり、その指キーを所有していなければログインできない、というしろものです。ぼくはこのYubikeyを日本に広めるビジネスを展開してまいります。
一時期はGoogle、Microsoft、Amazonなども正規認証キーとして公認していましたが、Apple社だけはなぜか公認を避けていました。(といっても十分使えるのですが)そして今年の7月7日、ついにApple社も公認し、設定アプリをApp Storeで売り出したのです。
アメリカ軍、各州政府、などなど早くからYubikeyを認証デバイスとして取り入れてきました。僕はこれをYubico社と提携して、日本の正規代理店になろうと交渉中です。ビジネス用のサイト制作が遅れていて、まだ皆さんにご利用頂ける状態ではないので、個人用のサイトでとりあえず紹介させて頂いている次第です。
###
ysugie
すぎぴょんのWebログをもっと見る
購読すると最新の投稿がメールで送信されます。