ハッカーの攻撃対象はコンピュータだけではない。物理的なセキュリティの突破に血道を上げるハッカーもいる。
ハッカーの世界では「合鍵の作成」や「解錠テクニック」を意味する「Key Impressioning」という言葉がある。ハッカー同士で鍵の解錠方法やタンパーシールの気付かれない破り方などを情報交換している。そうした情報を見る限り、サーバールームのドアの施錠に使用されているシリンダー錠や暗証番号錠は簡単に開いてしまう。
世界には解錠のスピードを競う「Key Impressioning Game」と呼ぶイベントもあり、米国の物理セキュリティ関連イベント「LockCon」(http://blackbag.nl/)内で毎年開催されている。当然のことではあるが、毎年のように解錠スピードの記録は塗り替えられている。
「合鍵の作製」といっても、元の鍵を盗んで合鍵を作るわけではない。使うのは、やすりと溝を掘る前の鍵形だ。“錠前ハッカー”は錠に鍵形を差し込んで、左右に回して鍵形にわずかな傷跡を付ける。その傷跡を頼りに、やすりで合鍵を削り出してしまう。
2011年のKey Impressioning Game世界大会の優勝者ジョイ・ワイヤーズ氏は、筆者の目の前で五十数秒で合鍵を作成した(写真1)。彼が合鍵を作成した錠は、一般的なサーバールームの入口で使われるレベルのもの。入口ですらこの程度なのだから、サーバーラックの錠などはないも同然だ。
解錠技術は最新のRFID錠についても研究されている。2011年のLockConでは、スイスの大手錠前メーカーの製品が研究対象として取り上げられ、特殊な工具を使わずに解錠できることが示された。弁護士でもあるマーク・ウェーバー・トビアス氏が率いる研究グループは、針金、ボールペン、磁石、クリップ、アルミホイルなどで空港やデータセンター、政府機関などで使われるRFID錠を解錠した。
物理セキュリティにも多層防御を
物理セキュリティに関する研究グループは研究結果をメーカーに報告して、対処方針を問いただす活動も行っている。2011年の研究対象となった錠前メーカーの回答が興味深い。要約すると「そもそも製品(鍵)は不正に解錠できないことを保証するものではない。解錠に時間がかかることを使命としている。その時間は、およそ5分から10分である」というものだ。
言われてみればもっともな話で、この世に開かない鍵は無いだろうから、解錠までの時間を我々は買っていることになる。メーカーから回答を受けた研究グループは「何分で解錠できるかやってみよう」と実験した。結果は針金だけで解錠でき、要した時間は59秒51だった。メーカー想定よりもはるかに短い時間しか稼げないというのが現実のようである。
こうした事実を踏まえると、物理セキュリティでも「多層防御」が必要になる(図1)。ITセキュリティでは、ネットワーク、システム、アプリケーション、データ、ポリシー、人材教育など様々なレイヤーでセキュリティを守る多層防御の考え方が徐々に浸透している。
物理セキュリティでも、錠前を2重化して鍵の管理者を分離させたり、監視カメラを設置したり、鍵とは別のシステムで入退室管理を実施したりといった多層防御が考えられる。
データセンターでITセキュリティばかりに意識が向いてしまい、物理セキュリティがおろそかになると取り返しのつかないことになりかねない。建物に侵入されて暗号鍵を盗まれたりすると、どんなITセキュリティも無力化されてしまう。物理セキュリティを見直して、多層防御の考え方を取り入れるべきだ。
錠もシステムも破られるもの
世界のハッカーイベントを見ていると、日本のセキュリティ教育についても考えさせられる。
2011年、米国で物議を醸した出来事がある。子供向けハッカーイベント「DEFCON Kids」において、ハッキング手法の教育の一つとしてシリンダー錠のピッキング方法を教えたことだ。DEFCON Kidsは保護者同伴を前提とした8歳から16歳までの子供を対象にしたイベントで、これまでもSQLインジェクションのようなハッキングの手法を教えてたりしていた。さすがにピッキングの方法は教育上好ましくないと一部のメディアが批判的に報道した。
とはいえ、冷静に考えればSQLインジェクションであれ、シリンダー錠の解錠方法であれ、インターネットで検索すれば簡単に情報を入手できる。システムや錠が簡単に破れることを子供のうちから教育したほうが、セキュリティに対して十分な注意が払える人材育成につながるという考え方もあるだろう。
ネットワンシステムズ フェロー
