7匹の子ヤギと多要素認証

サイバーセキュリティの観点から、童話『オオカミと7匹の子ヤギ』を分析します。

私たちの祖先はコンピューターを持っていませんでしたが、子どもの安全を守ることについてはある程度知っていました。先日の記事では童話の『赤ずきん』を参考にして中間者攻撃、ハンドシェイク、フィッシングについて説明しました。今回の題材は、2段階認証/多要素認証と生体認証です。教科書として使うのは、『オオカミと7匹の子ヤギ』という童話です。

オオカミと7匹の子ヤギ

『オオカミと7匹の子ヤギ』の話を知らない人も多いと思うので、最初にあらすじを紹介しましょう。あるところに、お母さんヤギと7匹の子ヤギが住んでいました。ある日、お母さんは食べ物を探しに出かけます。留守番する子どもたちに、お母さんは「オオカミを家に入れてはいけませんよ、みんなを食べてしまうからね」と言い、声や毛色でオオカミを見分ける方法を教えます。お母さんが出かけると、オオカミが来てドアをノックします。声が低すぎて子ヤギたちに正体を見破られてしまったオオカミは、お母さんに似せて声を変え、再びドアをノックします。しかし、子ヤギたちはドアの下からのぞき見てオオカミの黒っぽい足に気づき、やはりドアを開けません。オオカミは、今度は小麦粉を足に振りかけて、お母さんヤギの足のように毛色を白くします。そしてついに、お母さんヤギが戻ってきたと思い込ませることに成功し(そして子ヤギたちを食べてしまい)ます。この後どうなるかは、以下の動画を見てみてください。

さて、サイバー犯罪者が標的を食べることはないので、私たちとしてはオオカミがヤギの家に入ろうとするところに興味があります。実際に何が起きたのか、段階を追って見ていきましょう。

  1. お母さんヤギは、知らない人が来てもドアを開けないようにと子どもたちに念押しして、森へ出かける。
  2. オオカミは家に近づき、お母さんだから家に入れてくれと頼む。子ヤギたちは、オオカミの声がお母さんの声とは違うとすぐに気づき、ドアを開けない。

これは、生体認証がどんなものかを示しています。オオカミは言うべき言葉(パスフレーズ)を知っていましたが、それだけでは十分ではありません。このダミ声の「ユーザー」がヤギの家に入るには、2番目の要素である「話者認識」にパスする必要があります。

  1. オオカミは、もっと優しく聞こえるように自分の声を変える(声を変える方法は物語によって違う)。声を変えたことで、オオカミは話者認識をパスする。しかし、子ヤギたちは、ドアの下からオオカミの黒っぽい足を見て、今度もオオカミを家に入れない。

要するに、家に入るにはパスフレーズを知っているだけでは十分ではなく、声のチェックにパスしてもだめで、これらに加えて正しい指紋足を持っている必要があるのです。ここでの「足」もまた、本質的に生体認証の一要素です。家の持ち主の声をまねることができても、さらに区別できる特徴を持った人でないと家の中に入ることができません。

  1. オオカミは小麦粉を使って足を白くして、もう一度アクセスを試みる。今回は成功する。

ここまでの流れは、多要素認証を回避するハッカーの手口をよく表しています。この物語では生体認証データである声と足が偽装されていますが、現実世界でも詐欺師がこういった手口を使います。この物語は、子どもたちに多要素認証とは何かを説明する良い材料であるのと同時に、生体認証を使用したセキュリティは思うほど信頼できないということを示してもいます。

子どものためのサイバーセキュリティの物語

このように童話は、サイバーセキュリティの素晴らしい手引きになります。子どもに対して回りくどい説明をしたり、何かを全面的に禁止したりしなくても、童話の例えをうまく使って話してあげましょう。インターネットの世界で遭遇する可能性のある悪質な手口や、そうしたものから身を守るための方法について教えてくれるのは、『赤ずきん』と『オオカミと7匹の子ヤギ』だけではありません。たとえば、子どものお気に入りのアニメも、サイバーセキュリティについて何かを語っているかもしれません。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?