叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

確信のソーシャルエンジニアリング

AFは何か

太平洋戦争で日米の形勢が逆転したミッドウェー海戦。暗号の解読に当たったのは日本での赴任経験を持つレイトン少佐です。

日本海軍の通信を傍受している際、しきりに現れるAFが何を示すのかが、最大の謎であったのですが、それがミッドウェーをさすとほぼ特定します。

しかし、それを確信するまでには至っていませんでした。

そこで、レイトン少佐は日本を罠に陥れます。ミッドウェーの守備隊に命じて、ハワイへ向けて「飲料水用の蒸留装置が故障した」とニセの通信を送らせるのです。これを傍受した日本軍が、暗号で「AFは水不足中」と通報するのを米国はキャッチし、AFはミッドウェーであると確信を持つにいたるのです。

米軍の太平洋戦域の総司令官、ニミッツ大佐は、情報将校のレイトン少佐に「山本大将の考えを読み、彼の次の動きを教えろ」と命じていました。

レイトン少佐は数学的解析力からAFの暗号をミッドウェーと仮定し、その確証を得るために、ソーシャルエンジニアリングの技法を用いて「AF=ミッドウェー」と特定するのです。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、技術的な攻撃を仕掛けるのではなく、人にかかわる管理的・心理的脆弱性突く攻撃の総称です。

オレオレ詐欺は親族、警察官、弁護士等を装い、親族が起こした事件・事故に対する示談金等を名目に金銭等をだまし取る詐欺ですが、これはソーシャルエンジニアリングの一種であります。

わたしは生活安全課の者です。あなたは◯◯さんのお母さんですか?

はい、そうです。何かありましたか?

あなたの息子さんが痴漢をしました。いま、取り調べをしています。

ちょっとお待ちください。本当ですか?

いま、息子さんから事情を聞いておりますが、痴漢をした相手の女性が息子さんを訴えると言っているので、示談金を払った方が良いですね。

示談金で済むのですね。分かりました。どうすればいいか教えてください。

この他にも、事業所のゴミ箱をあさることで破棄した書類やメモから情報を収集するキャベジンや、背後からパソコンでパスワードを入力している人の情報を盗むショルダーハッキング等、ソーシャルエンジニアリングの手法はさまざまです。

暗号の解読と暗号鍵

暗号の解読と暗号鍵の関係について書きます。

たとえば、元のアルファベットを3文字後ろにずらすという暗号があります(換字式暗号)。換字式暗号で暗号化されたメッセージは、3文字前にずらすことで解読出来ます。これを復号と呼びます。ここでは暗号に用いる鍵も復号に用いる鍵も共通で3です。

f:id:slowtrain2013:20200813155402p:plain
暗号の解読と暗号鍵

暗号鍵は慎重な取り扱いが必要です。

よく仕事で文書ファイルをパスワード付きzipで暗号化し、そのファイルをメールで送り、後から別メールでパスワードを送ることがあると思います。この場合、zipファイルにつけたパスワードが共通鍵です。

仮に悪意を持ったハッカーがメール送受信の間に入り、通信を傍受する(中間者攻撃といいます)と、文書ファイルもzipファイルのパスワードも、ハッカーにバレてしまいます。

このような暗号化と復号に使う鍵が同じものを共通鍵暗号方式と呼びます。

共通鍵は受け渡しに労力を使います。

一方、受け渡しに労力を使わない暗号化方式があります。それは公開鍵暗号方式です。

公開鍵暗号の暗号文は暗号化に使う公開鍵とペアとなった秘密鍵で復号します。暗号化を行うための公開鍵では、復号が出来ないことから、公開鍵については漏洩しても元のメッセージが解読されることはありません。復号に使う秘密鍵を厳重に管理すれば良いのです。

また、共通鍵暗号方式はメッセージのやり取りをする相手毎に別々の鍵が必要となります。メッセージのやり取りをする相手が増えるに従い、鍵の管理コストが増します。それに対して、公開鍵暗号方式は、メッセージのやり取りをする相手が増えても公開鍵と秘密鍵の組み合わせが1つあれば管理が出来ます。

f:id:slowtrain2013:20200813170340p:plain
暗号鍵の受け渡し