yuuの少女少年FANページのロゴ
 

ドリ♪カノで学ぶセキュリティ~パスワード問題~

最近、女子中高生に人気のスマホアプリが2つある。
まず一つ目は『エレガンテ』というアプリ。スマートフォンで撮影した写真を、プリクラのように自動的に目を大きくしたり小顔にしたりすることができるアプリだ。
奏四は使っていないが、クラスメイトの心音やレミは使っているという。以前、奏四は心音から「まさか、まさかのレミと一緒にツーショットを撮れましたー! しかもこのアプリ、すごい可愛く加工してくれるんでーす」と言って加工済みの写真を見せてもらったが、実物のほうが断然かわいいので言葉につまった。
基本的に会員登録しなくても利用できるが、会員登録をすることによって加工前後の写真をアプリ開発会社のサーバー上に保存できるという。こうすることによってスマホの容量圧迫削減になり、わざわざ会員登録している人も多いという。

二つ目は『モジュレイション』というアプリ。いわゆる、無料チャットアプリだ。特にこのアプリに特徴的なのが、文章モードという概念。これは、普通に書いた文章が、送信すると指定したモードによって言葉が変化するという機能だ。
例えば、『猫モード』を選択して「おなかすいた」と書いて送信すると、「おなかすいたニャ」となる。『関西弁モード』を選択して「私、あなたのこと大好きよ」と書いて送信すると、「うち、あんたのことめっちゃ好きやねん」となる。ニュアンスが変わってるような気がしないでもないが、確かに関西弁にはなっている。
その中でも特に人気なのが、『小文字モード』だ。これは、ひらがなの箇所を自動的に小文字にするモードで、例えば、「おはようございます」と書いて送信すると「ぉはょぅござぃます」となる。
奏四としては読みづらくて仕方がないのだが、手軽にかわいい小文字になるという事で女子中高生に人気らしい。
いっぽう奏四はこのアプリを、『標準モード』、つまり、なんの変更もないまま送信するように設定して利用している。とはいっても、このアカウントを伝えているのは心音と幸田だけ。つまり、カノンの正体を知っている人用のアカウントとして使っている。
よく使うチャットアプリのLINEでは、ほとんど奏四としてしか使っておらず、カノンの話はほとんどしない。一時期、芸能人の不倫の会話が流出したことに懸念して、カノンとしては利用しないことにしているのであった。

どちらのアプリもウェブサービス版があり、パソコンを持っている心音は、家ではパソコンで利用しているという。心音が『エレガンテ』の写真を奏四に見せたのもパソコンからだ。『エレガンテ』はパソコンのほうが写真を見返しやすく、『モジュレイション』はタイピングに慣れている人にとってはパソコンのほうがいいらしい。

ある日の朝のこと。奏四の携帯電話に一通のメールが届いた。『モジュレイション』の会社からだ。タイトルは、『パスワード流出のお知らせとパスワード再設定のお願い』。
奏四は身震いした。よりにもよって、奏四としてもカノンとしても利用しているアプリのパスワードが流出したのだという。カノンが奏四だとバレてしまうのではないかと懸念した。
だが、メールを読んでみると思ったほど深刻ではないようだった。パスワードが流出した形跡はあるものの、不正利用された可能性はほぼないらしい。
しかし、ほうっておくと誰かが流出したパスワードを利用して不正ログインし、個人的なチャットの内容を見る可能性があるため、メールでパスワードの変更を催促し、パスワードを変更しないことには利用できないようにしているらしい。
パスワードが流出したとしても、メールまで盗み見されてる可能性は低いと考えてのことだろう。
奏四はメールに書かれてあるランダムな文字列が書かれたようなパラメータのついたパスワード再設定用のページのURLをクリックしてページを開き、パスワードをどうしようか5分ほど悩んで新しいパスワードを設定した。
ログインすると、心音の新着メッセージが一つ目に入った。『帰国子女モード』に設定してある心音のメッセージは「ワタシ、驚いたでーす」と書かれてあった。

その日の昼過ぎのこと。
「それにしても、モジュレイションのパスワード流出事件はすごい事件だよね。ここまで大規模なパスワード流出事件はそうそうないんじゃないかな」
いつものカラオケルームで幸田が奏四と心音にたいして言った。いつものように、今後のカノンの活動予定を話し合っていた時のことだ。
今回の流出事件は『モジュレイション』を運営している会社のデータベースサーバが何者かによってハッキングされ、データベース内のユーザー情報を盗まれてしまったという。そのことが発覚してすぐに、ハッキングに使われたポートを塞ぎ、不正利用されないようにしたが、それでもそれまでデータベース内にあったデータは盗まてしまったので、その対策は行ったという。
幸いにして、盗まれたのはパスワードやIDなどのユーザー情報だけだというが、それでも『モジュレイション』のパスワード流出事件は大きく報道され、ヤフーのトップにもニュースとして掲載され、『モジュレイション』の運営会社は対応に苦慮しているようだった。
「でも、対応が早くて助かったよ。チャットの中身を見られることもなかっただろうし」
奏四は言った。もし、あのままパスワードが流出したことを黙って放置されていたら、今頃カノンの正体が奏四だと世間にバレているところだったんじゃないかと思った。
「そうだね。確かに、そこはネットでも評価している人が多いみたいだよ。多分、パラメータでどのユーザーか判断していたようだから、パスワードを知っている他人が再設定できることもなかっただろうしね。でも、僕としてはパスワードを生データのままデータベースに保存していたことがそもそも問題じゃないかと思うんだ」
奏四には幸田が言いたいことがよく分からなかった。
「生データって、そのまま保存するってこと? でもそうしないと、ユーザーが入力したパスワードがそのユーザーのものか分からないんじゃないの?」
奏四がそう言うと、幸田は待ってましたと言わんばかりに目を輝かせ、話を続けた。
「いや、実はパスワードそのものは本人以外は誰も知っている必要がないんだよ。だから、パスワードを暗号化した文字列をデータベースにいれておけばそれで十分。特によく使われるのがハッシュ化という方法で、これはある計算方法で文字列を別の値に変更する方法なんだ。さらにハッシュ化は不可逆変換、つまり、ハッシュ化した値から元の値に戻せないといわれている手法なんだよ。例えば、『ArutoKoda』という文字列をMD5という手法でハッシュ化すると、『2c2de7eaa6e63e9f57ab9110628f03b9』というハッシュ値になる。ただし、『2c2de7eaa6e63e9f57ab9110628f03b9』から『ArutoKoda』には戻せない。一見、これだとログインできないんじゃないかと思うかもしれないけど、ユーザーが送信したパスワードをハッシュ化してその値がデータベースに保存されているハッシュ値と一致していたらログインを許可すればいいだけだから、問題はないんだよ。さらにこれなら盗まれても元の値が分からないから不正ログインされる心配もないってわけ」
奏四としては幸田の言っていることが半分近く分からなかったが、とりあえずうんうんと頷いておいた。とにかく、ハッシュ化というものをすればパスワードが盗まれてもある程度安全なんだろうということはわかった。
「まあ、どちらにしろ、今回みたいなことがあったんだから、奏四とカノン、どちらとしても利用することは辞めにしようと思う。メールのほうが安全かもしれない」
奏四がそう言うと、幸田もそれに対して頷いた。
「そうだね。今回だってたまたまチャット内容データは盗まれなかったけど、それだって盗まれる可能性はあったわけだしね。前と同じでメールだけで連絡することにしよう」
幸田がそう言って、奏四は『モジュレイション』にログインし、続いてアカウントを削除した。

「さて、じゃあ話は戻って今後の活動計画を決めようか」
幸田はそう言って心音の顔を見た。心音は作曲用のパソコンを見つめ、青ざめた顔になっていた。
「どうしたの心音?」
奏四が心配して心音に話しかけると、心音は青ざめた顔のまま「大変です」と言い、パソコンを指さした。
奏四がパソコンを覗くと、そこには以前、心音から見せてもらった『エレガンテ』で加工したレミと心音のツーショットの写真が表示されていた。一瞬、何が問題なのかわからなかったが、その下にはレミだけの写真が載ってあった。
よくよく見てみるとそれは匿名掲示板をまとめたブログのようで、タイトルは『【悲報】レミが糞アプリ、モジュレイションの利用者だった件』とあった。
「これって……」
奏四はすぐに何が起こったかのか分かった。誰かがレミの『エレガンテ』のアカウントに不正ログインして写真を抜き取ったのだろう。
『エレガンテ』までパスワードの流出が起こったのかもしれない。奏四はそう考えた。
心音も同じように思ったようで、すぐさま『エレガンテ』にログインし、少し考えてからパスワードを変更した。
もちろん、そう思ったのは奏四や心音だけではないらしく、中には運営会社に問い合わせた人もいるようで、調べてみると『現在確認中とだけ言われた。何でモジュレイションみたいに早い対応ができないの、超腹立つ』という書き込みをしている人もいた。

次の日にはさらに事態は深刻化した。『レミの住んでるマンションを特定した』という書き込みがあったのだ。
奏四がその書き込みを確認してみると、確かにそこに書かれているマンションはレミのマンションだった。
どうやら、『エレガンテ』から流出した写真で判明したらしい。その写真はどこにでもありそうな家の部屋で撮影された写真で、その写真を見る限りどこのマンションか判別できるとは全く思わなかった。
しかし、よくよく読んでみると写真には『Exif情報』といって、写真撮影時の情報が埋め込まれているらしいということが分かった。
その中には緯度と経度が含まれていることがあり、その情報からどこのマンションか判明したという。
調べてみると、過去にもTwitterやブログなどで写真を公開して、Exif情報から場所を特定されるという事例があるらしいということが分かった。
写真を投稿する際にはExif情報を削除してから投稿するのが安全ということだ。奏四はもし、これからカノンとして写真を投稿することがあれば気をつけようと思った。

一方、『エレガンテ』の運営会社はその日、『パスワード流出の形跡は無し』と発表した。そもそも、『エレガンテ』ではパスワードはハッシュ化されて保存されており、仮に流出したとしても簡単にログインされるようにはなっていないという。
「じゃあ、いったいどうして……」
奏四はいつものカラオケルームでつぶやいた。
「多分だけど、モジュレイションとエレガンテで同じパスワードを使っていたんじゃないかな」
幸田は言った。
それを聞いて、奏四は以前、姉に連れられて(主に、荷物係として)原宿駅に行った時に見た、少女漫画風のパスワードについてのポスターを思い出した。パスワードの使い回しに対して注意を促しているポスターだ。
確かに、同じパスワードを使いまわしていると『モジュレイション』で取得したパスワードを用いて、『エレガンテ』にログインし、写真を取得することも可能だ。
実際、奏四も奏四用、カノン用、両方用(つまり、『モジュレイション』用)と3種類で分けてはいるものの、基本、ほとんど同じパスワードだ。
しかし、パスワードを使いまわししないように言われても、そんなに何種類も覚えることができるとは思えなかった。
「やっぱり、利用しているサービスのパスワードを全部違うものにして、どこかにパスワードをメモしておいておくのがいいのかな。そんなにいろいろ覚えられないだろうし」
奏四がそう言うと、幸田は「いやいや」と言って、話し始めた。
「パスワード自体を覚えておくのではなく、パスワードの生成規則を考えてそれを覚えていたらいいんだよ」
幸田は自慢気にそう言ったが、奏四としてはその意味が少し分からなかった。
「例えばね、まずは基本的なパスワードとして『abcde12345』という文字列を考える。これに、サービス名の名前からパスワードを変更することにする。例えば、サービス名を英語で書いた時の一文字目をパスワードの一文字目にして、サービス名の長さの一の位を最後の文字にするという具合にね。例えば、『エレガンテ』だと英語で『elegante』。一文字目はeで長さは8文字だから『ebcde12348』となる。同じ要領で、『モジュレイション』、つまり『modulation』は『mbcde12340』となる。これだけでほとんどのサービスを別のパスワードで利用することができるんだよ」
なるほど、と奏四は思った。確かにその方法だとパスワードを何種類も覚える必要はなく、パスワードの生成規則を覚えておくだけでバラバラのパスワードを作ることができる。
「後は、小文字も大文字も入れたり、記号がオッケーなサービスには記号も付与するとより安全。『@bcdE12345』という具合にね」
「やっぱり、パスワードって大事なんだね。覚えやすいパスワードばかりつけてたよ」
「それじゃあダメなんだよね。ましてや、『123456』や『password』や生年月日をパスワードにしてるなんてもっとのほかだよ。みんなが考えるようなパスワードだからね。パワワードクラックといって、よく使われているパスワードを使って、いろんなユーザーでログインできないか試してみるという手法もあるぐらいなんだ。だいたい、100人いたら1人は単純なパスワードを利用しているらしいよ」
幸田がそう言った後、奏四はふと心音のほうに目をやった。心音は先ほどから、「なるほどなるほど」と言って頷きながら、メモをとっている。
「心音は大丈夫? エレガンテとモジュレイションで同じパスワードを利用してない?」
奏四が尋ねると、心音は「違うパスワードですけど……」と言って、続けた。
「ワタシの場合は、サービスの名前やレイアウトを見て浮かんできたメロディーを、キーボードを鍵盤に見立ててパスワードを考えているです。例えば、モジュレイションだと転調するメロディー、エレガンテだと優雅なメロディーが頭に思い浮かんだので、その音をパスワードにしてるです。でも、それって同じ考えの人がいたらバレちゃいますよね……。だから、幸田さんが言うように、パスワードの生成規則を考えて、分けたいとおもいま~す!」
そんな特徴的な覚え方をするのは心音ぐらいだろと思いながらも、幸田の手前、何も言わないでおいた。
					
なんとなく少女少年のキャラで書いてみたかった『学ぶ』系の小説。とりあえず、自分の本職とある程度関係のあるセキュリティについて書いてみました。みなさん、パスワードの使い回しはやめましょう。