赤ずきんと中間「狼」攻撃

童話は英知の泉です。情報セキュリティの基礎を子どもたちに教えるのに、これ以上ない教科書です。

情報セキュリティの概念を、お子さんにどのように説明していますか?たぶん、説明していない人がほとんどではないかと思います。中には情報セキュリティについて話すことをあきらめて、インターネットで何かすることやインターネットを使うこと自体を禁止する人もいます。しかし、説明なしに禁止するのは逆効果で、子どもたちはかえって禁断の果実を追い求めるようになってしまいます。

そもそも親としても、情報セキュリティの概念を把握しているとは限りません。「サイバー脅威と情報セキュリティの仕組みについて、子どもたちに話してみませんか?」と言われても、フラストレーションを募らせてあきらめてしまいがちです。しかし実は、子ども向けの、サイバーセキュリティに関する、教科書のような物語が、何百年も前に書かれているのをご存じでしたか?それは、童話として知られている数々の物語…これの、焦点を少しばかり結び直してみれば良いのです。

赤ずきん

たとえば『赤ずきん』。グリム兄弟、シャルル・ペローらによって語られてきた欧州の童話として世界的に有名です。物語のバージョンによって少し異なるところはありますが、基本の筋は同じです。起きたことを段階的に見ていきましょう。

  1. お母さんが娘にお菓子のバスケットを持たせ、おばあさんの家に行かせる。
  2. 赤ずきんはオオカミに出会い、オオカミは「どこへ行くの?」と尋ねる。
  3. 赤ずきんは「おばあさんのところへお菓子の入ったバスケットを届けるところなの」と答える。

最初のところから、サイバーセキュリティとの関連が明らかに見て取れます。この部分は、2者間(たとえばサーバーとクライアント)の通信を確立するプロセスであるハンドシェイクの説明になっています。関連する脅威も、ここで観察できます。

サイバーセキュリティ的に説明すると、赤ずきんちゃんは、おばあさんの家のドアをノックし、「どなた?」というクエリを受け取り、お母さんからのお菓子を持ってきたという内容のパスフレーズで応答するようにプログラムされていました。このパスフレーズを受け取ることにより、おばあさんは赤ずきんを認証して、家に入ることを認めます。しかし、赤ずきんは「どなた?」という正式なクエリではなく、偶然に遭遇したリクエストに対して「おばあさんにお菓子を持っていくの」というパスフレーズを渡してしまいました。こうして、攻撃者に悪用の機会を与える結果になったのでした。

  1. ファームウェア童話のバージョンによって異なるが、オオカミは赤ずきんに回り道をさせる、またはおばあさんのために花を摘んでいくことを提案する。

これは一種のDoS攻撃です。赤ずきんが家に入った後だと、オオカミはほぼ確実におばあさんの家に入れてもらえません。予定された訪問者が、もう家の中にいるからです。したがって、オオカミにとっては、赤ずきんが予定どおりタスクを完了できないように、しばらく任務を外れさせることが重要でした。

  1. オオカミはおばあさんの家に先に着いて「どなた?」というクエリに正しく応答し、正当にログインする。おばあさんはオオカミに家へ入ることを認める。

これは、リプレイ攻撃の手法を使った、ほぼ教科書どおりの中間者攻撃です(この場合は「中間狼攻撃」と言った方が良さそうですが)。オオカミは2者間の通信チャネルに入り込み、クライアント(赤ずきん)からハンドシェイク手順とパスフレーズを引き出し、手順とパスフレーズを再現してサーバー(おばあさん)へのアクセスを不正に手に入れます。

  1. オオカミはおばあさんを食べてしまい、寝間着とナイトキャップを身に着けてベッドに横になり、毛布を掛ける。

サイバーセキュリティ的に言うと、オオカミはここでフィッシングサイトを設定しています。ドアの方から見ると、正真正銘のおばあさんの家に見えます。おばあさんのベッドがあり、おばあさんに似た誰かが横になっています。

  1. 家に近づき、「どなた?」というクエリを受け取ると、赤ずきんちゃんは持っているお菓子についてのパスフレーズを与える。

これは中間者攻撃の続きです。情報交換の第2段階を学習したオオカミは、サーバーおばあさんの普段の行動をまねています。赤ずきんは疑うことなくログインします。

  1. 赤ずきんは家に入り、おばあさんの耳や目や歯がなぜそんなに大きいのか、不思議に思って尋ねる。賢明な質問だが、結局オオカミの下手な説明に満足してログインし、食べられてしまう。

現実には、フィッシングサイトはこの童話のように100%の説得力を持つことはなく、ハイパーリンクに不審な点があるなど怪しげな要素が見られるものです。問題を避けるには、十分な注意を払うことが不可欠です。たとえば、おばあさんのドメイン名がナイトキャップから突き出ていたら、サイトから直ちに離れるべきです。

赤ずきんはつじつまの合わない点に気づきますが、不幸なことにそれを無視してしまいました。ここで、お子さんには赤ずきんに注意が足りなかったことを説明して、本当はどうすべきだったかを伝えましょう。

  1. 運よく木こりの一団がやってきて(狩人のこともある)、オオカミのお腹を切り開くと、おばあさんと赤ずきんちゃんが飛び出し、どちらも奇跡的に無事だった。

確かに、物語の全部が情報セキュリティの展開に沿っているとは限りません。サイバー犯罪者のお腹を切り開いて、失われた金銭や名声やセキュリティを元に戻すことは不可能です。念のため、私たちはそんなことを試したことはありませんし、試したことのある人との関わりもありません。

その他の童話に見るサイバーセキュリティ

童話には、人生の教訓が含まれています。何らかの情報セキュリティ的な意味が隠されていることもあります。肝心なのは、正しく説明することです。

『三匹のこぶた』には、やたらと息を使って総当たり攻撃をするハッカーもどきが登場します。『雪の女王』では、雪の女王がカイに「悪魔の鏡」なるマルウェアをインストールして彼を支配しますが、これはリモートアクセスツール(RAT)が外部の犯罪者に対して内部の人と同じレベルのシステムコントロール権を与えるのと同じやり方です。

『長靴をはいた猫』に至っては、非常に高度なAPT攻撃に関するレポートです。主人公は地域を治める魔法使いオーガのインフラを乗っ取り、そこでの存在感を確立し、レピュテーションサービスの絡む複雑な詐欺的取引を成功させたのでした。

ヒント