機密漏えいの最大原因、システム欠陥より人為ミスと指摘

2016.01.12 18:00
  • このエントリーをはてなブックマークに追加

160112humanerror.jpg


人は愚かな生き物なのです……。

これさえ使っていれば絶対に大丈夫! 昨今のセキュリティ危機に対処すべく、独自のセキュアOSが搭載された「Blackphone」から、限りなくアナログな通信手段にいたるまで、数々の安全なコミュニケーションスタイルが推奨されてきましたよね。

でも、残念ながら、いくらシステム的には完璧なセキュリティを確保しても、もっとも怪しいのはユーザーとなる人間たちという悲しい現実が突きつけられていますよ。昨年末に米国ロサンゼルスで開催されたAnnual Computer Security Applications Conferenceにおいて、米アラバマ大学バーミンガム校の研究チームは、人為ミスによるセキュリティ危機拡大を実証する興味深い発表を実施。悲しきかな、人間の甘い対応が機密漏えいにつながっている実態が如実に明らかにされています。

例えば、通信アプリの「RedPhone」や「Signal」では、セキュアな通信が確立されたかどうかを認証するため、画面に表示された単語と、音声で読み上げられた単語がマッチングするかどうかを問う認証方式を採用中。聞き取った単語がスクリーン上の単語と同じであればセキュアな通信を開始できますが、マッチしない場合は盗聴の可能性があるので通信を切らねばならないというわけですね。

ところが、同研究チームが128名の参加者を対象に、この認証方式を模したテストを実施したところ、わずか2単語のマッチングを認証するだけなのに、3割のユーザーは、マッチしていなくても、お構いなしでセキュアでない通信を継続。逆に認証はマッチしているのに、聞き取りを誤って通信を遮断したユーザーも2割を超えました。

こうした認証方式では、より単語数を増やすことで、セキュリティレベルの向上が図られるのが常です。そこで、4単語のマッチングによる認証へ切り替えたところ、先ほどより多い4割のユーザーが、セキュアでない通信なのに構わず通信を継続するという、なんともお粗末な結果が出ていますよ。どうやら認証単語数が増えると、間の単語が少々異なっていても気にしないというケースが増えたほか、以前に正しい認証ワードを発声した人と同じ声が聞こえてくれば、それだけで認証は正しいと信じ込むユーザーが増加してしまったんだとか。

せっかくシステム的には、機密漏えいにつながる危機を十分に警告可能な仕様を備えていても、あえてその警告を無視しがちな人間の頼りなさ~。すでに今回の研究発表をベースに、音声認証が通るかどうか、人間ではなく機械に判断させる仕組みを確立する動きも強まっているとのことですね。もっとも信頼できないのは、自分も含めた周囲の人間というのが厳しい現実だったりするのかもしれません。


image by Gajus / shutterstock

source: Technology Review

Jamie Condliffe - Gizmodo US[原文
(湯木進悟)

  • このエントリーをはてなブックマークに追加
・関連メディア