MAP10:インタ−ネットのセキュリティ                      パトリック・クリスペン                              甲斐荘 泰生 訳 「サイバ−スペ−スの今日の状況は、いろいろな点で19世紀、アメリ カの開拓時代の「西部」の状況に似ている。それは広大で、案内地図も なく、文化面でも法律面でも曖昧で、寡黙で必要なことだけが簡潔に表 現され(あなたが裁判所の速記者ならば、話しは別ですが)、立ち入り 難く、それでいて誰でも手に入れることができる。そこでは、すでに大 きな組織や団体が、所有権を主張している。しかし、大部分の実際の住 民は、孤独で独立心が強く、ときには非社会的ですらある。もちろんそ こは、無法者と自由という新しい発想にとっての理想的な飼養場でもあ る。」               John Perry Barlow, Crime and Puzzlement 「インタ−ネットは安全な場所で、あなたのパスワードを保護する必要など ありま せん」と言えたらよいのにと思います。しかし不幸にも、そこにはあ なたのアカウ ントに入りこみ、「あなたのアカウントを使って何かをするこ と(1) 」を、楽しみ にしている人々が大勢います。 そういった行為は、どの程度一般的なのでしょうか。Electronic Frontier Foundati on の主席法律弁護人である Mike Godwin によれば、「それは日 常茶飯事(1) 」と のことです。 "crackers"と呼ばれる、あなたのアカウントに侵入しようとする人達に対 する、一 番の防御はパスワ−ドです。あなたのパスワ−ドをしっかり保護 すれば、あなたは もうだれのことも心配する必要はなくなります。あなた のパスワ−ドをだれかにあ げたり、パスワ−ドを紙に記してコンピュ−タの近くに置いたりすれば、どういう結 果になるか理解できることでしょ う。 あなた自身とあなたのアカウントを守るために、覚えておくべきポイント がいくつ かあります。 - あなたのパスワ−ドを、決してだれにも知らせてはいけません(1) 。 パスワ−ドを持つ一番の目的は、あなた以外のだれも、あなたのアカウ ントを使えないことを確実にすることなのです。 - あなたのパスワ−ドを、決して書きしるさないこと、特にコンピュ− タの近くには決してパスワ−ドを書いておかないことです。 - あなたがパスワ−ドを入れるとき、あなたの肩越しに、だれかがパス ワ−ドを覗き見することがないようにしなければなりません。"Shoulder Surfing"は 、アカウントを盗む最も一般的な手口なのです。 - あなたのパスワ−ドを、決してEメ−ルで送ってはいけません。 - 定期的に、あなたのパスワ−ドを変更してください(1) 。あなたのパス ワ−ドを破ろうとする Cracker を邪魔するのに、パスワ−ドを頻繁に変 更する以上の方法はありません。あなたの所属するインタ−ネットサ− ビス提供者は、どのくらいの頻度でパスワ−ドを変えたらよいか推奨す ることができるでしょう。しかし確実な方法は、少なくとも3ヶ月毎に パスワ−ドを変えることです。 - 辞書の言葉のなかから、パスワ−ドを選んではいけません(1) 。あなた が決めた パスワ−ドは、暗号化されファイルのなかにしまわれます。 Cracker にとっては、 辞書のなかのことばをすべて暗号化し、暗号化され たあなたのパスワ−ドと照合し て、あなたのパスワ−ドを探し出すことな ど、いとも簡単なことなのです。もし照 合に成功すれば、あなたのパスワ −ドを手に入れ、あなたのアカウントを意のまま に使いはじめることがで きます。 - 外国語のことばを、パスワ−ドに使ってはいけません。 Hacker は外国 語の辞書 を容易に手に入れることができ、同じ様にパスワ−ドを探しだせ ます。 - あなたのユ−ザIDを、決してパスワ−ドに使ってはいけません。これは、 最も破 られやすいパスワ−ドなのです。 - あなたの個人的なことまたは簡単にあなたと結びつくパスワ−ドを使ってはいけま せん(2) 。悪いパスワ−ドの例には、あなたの名前、あなたの身内の名前、ニックネ −ム、誕生日、カ−ナンバ−、社会保障番号、職員番号(または社員番号)そして電 話番号などがあります。 - 少なくとも8文字以上で、文字と数字の混ざったパスワ−ドを使いなさ い。最低 でもパスワ−ドには、4文字から6文字が必要です。 - 決して同じパスワ−ドを、ほかのシステムやアカウントにも使ってはい けません。 - ネットワ−クを経由して、ほかのコンピュ−タに Telnet したり rlogin するときには、いつも特に注意しなければなりません。あなたが Telnet し たり rlogin するとき、システムはあなたのパスワ−ドを単純 なテキスト形式で、 ネットワ−ク経由へと送ります。Cracker 達は、イン タ−ネットのゲ−トウェイ上 に、ネットワ−クを渡るパスワ−ドを見つけ だし盗むためのプログラムを植えつけ ています。あなたが頻繁に Telnet する必要があるようなら、同様に頻繁にパスワ− ドを変えなさい。あなたが臨時に Telnet を使うだけならば(たとえば仕事での出張 などの際に)、その旅行のためだけの新しいパスワ−ドまたは新しいアカウントを用 意しなさい。そして、旅行から帰ったら、そのパスワ−ドを変えるか、そのアカウン トを閉鎖してください。 最良のパスワ−ド--あなたにとって最も覚えやすく、cracker 達にとって 最も破り にくいもの--とは、あなたが試験の詰めこみ勉強で作ってきた「 造語」のようなも のです。たとえば、"the Law of Demand is the inverse relationship between pri ce and quantity demanded," と覚え るために、私は "TLODITIRBP&QD" ということ ばを作ったことがあります。 だれも、これをパスワ−ドと見破ることはできません 。さらによいことは、 それが覚えやすい点です。(エコノミストにとっては、特に 覚えやすいで しょう) これ以外のよいパスワ−ドの例をあげましょう。 センテンス パスワ−ド "In 1976 I moved to Tulsa, Oklahoma" I76IMTTO "The conference lost 12,000 dollars" TCL12KD "U of A Crimson Tide Football is #1" UACTFI#1 センテンスは覚えやすく、また破るのがほとんど不可能なパスワ−ドを作 ってくれ ます。(どうか、これらの例をそのままあなたのパスワ−ドには 使わないでください) よく知られた略語(たとえば: wysiwyg)や、キ−ボ−ドの並び(たとえ ば: qwer ty)も、あなたのパスワ−ドとしては使わないでください。 もし、あなたのアカウントの周辺で奇妙な事象が起こったら: 1. ただちにあなたのパスワ−ドを変えなさい。 2. あなたの属するインタ−ネットサ−ビス提供者に、そのことを 報告しなさい。 アカウントを破られている人が、アカウントが破られている兆候を、システ ムの技術的な問題として見逃してしまうケ−スが多く見受けられます。しか し、ひとつのアカウントが破られことで、システム全体がリスクに晒される ことがしばしば起きるのです。 さいごに、講義を終えるまえに、一言お話しておきたいことがあります。 "hacking" や "cracking" はインタ−ネットの精神を破壊してしまいます。 私はできる限りの ことをして、これらの行為に携わる「成長し過ぎた赤ん 坊達」を、彼らにふさわし い場所―刑務所―に送るための協力をするつもりです。しかしその時が来るまで、わ たしはできるだけ頻繁にパスワードを変えるつもりです。 宿題: あなたの所属するロ−カルのインタ−ネットサ−ビス提供者に連絡をとり、 あなた が自分のパスワ−ドをどうやって変えられるかを見つけなさい。そ して、あなたの パスワ−ドを変てごらんなさい。 情報源: (1)the Electronic Frontier FoundationのChief Legal Counsel, Mike Godwin との電話によるインタビュ−より (2) Bottom Line Personal 6/1/94 p.8 (in Edupage 5.22.92) に引用さ れた the C omputer Law Association のコメントより (3) Edupage 06.09.94 (from a story in the Tampa Tribune 6/8/94 Baylife 5) からの引用 Roadmap 原作著作権所有者   (c) 1994 Patrick Douglas Crispen                PCRISPE1@UA1VM.UA.EDU 翻訳者            甲斐荘 泰生                kainosho@sir.co.jp Roadmap Lessons 日本語版著作権所有者     (c) 1995 Reiko Sekiguchi                sekiguch@ulis.ac.jp 本稿は、1995年3月19日、パトリック・クリスペン氏から関口が翻訳・ 配布の許可をいただいて、翻訳・配布しているものです。