日別アーカイブ: 2023年2月9日

勢いでセキュリティについて語る


 私とて決してセキュリティ意識の高い人間では無いのだが。それでも苦言を呈したくなる事は、ある。

 Twitterの「連携アプリ」機能を使った(流用した)Twitter連携ログインができなくなるとかで、一部の人達の間で騒ぎになっている。

 自分は3年前に Twitter全垢凍結食らって以来、 Twitter連携ログインは危険極まりないものだと悟った。ので、自分はTwitterログインはそれ以降一切使ってないのだけど。
 結構な騒ぎになってるということは、危険性を承知してない人が多かったんかなあ。   
 Twitter連携以外にログイン方法が無いというふざけたアプリも確かにあったけど。

 ところで脇に逸れるが、ことこの件に関してはイーロン・マスクに文句を言うのは筋違いである。Twitterにログインを委ねていた貴様がセキュリティ意識低過ぎ、という話だし、そもそもイーロン・マスクが経営権を握る以前からの問題だ。

 さて。Twitterの話から入ったが、問題はTwitterに限らない。SNS連携によるログインは全て同じ危険性を孕んでいる。
 そもそも、SNSアカウントというのは他サイトでのログインに使うことを前提に作ってるわけではない。元々複数サイトでのログインを目的に設計・実装されているSSO(シングルサインオン)アカウント(GoogleやMicrosoft、Yahooなど)とは全く違うのだ。
 だから、いつ仕様変更やサービス停止になるかわからないし、セキュリティ強度も決して高くは無い。
 SSO運営事業者も倒産してサービス停止という可能性は無くは無いが、一応利用契約で事業継続が定められているのでそこまで心配はしなくても良いだろう。

 対して、SNSアカウントは他サイトでのログイン用に使うことを目的としていないし、ログイン目的での利用継続の保障も無い。
 なのに何故、SNSアカウントをSSOアカウントとして使う風習が普及というか蔓延してしまったのか。 

 日本人のセキュリティ意識の低さの表れなのか。
 何しろ、ドアの前の植木鉢の下に家の鍵を置くという呆れた行為を平気でやる人が昔からいる国である。

 ところでここ数年、携帯電話SMSによる認証をわざわざ義務づけてくる呆れたサイトが増えている。SMSは必ず11桁の数字(※実質は9桁)のみからアカウント名が決まるので、メールアドレス認証とすら比べものにならないくらいセキュリティ強度が低いのだが、何故か、と言うか携帯電話会社と関係性が深いところがどんどんこれを強制してきて、大迷惑である。

 自己防衛でセキュリティを高めようとしても、事業者の側がわざわざセキュリティ強度を低くしてくる。
 そういえば、割と最近まで「パスワードの桁数の“上限“が8桁まで」というクソサイトが結構あった。金融系に多かった。(さすがに今は無いと信じたいが。)

 話が飛ぶが、防衛省自衛隊の広報誌の名前は「セキュリタリアン」というらしい。この自衛隊がサイバー防衛云々とか口実を付けて、日本国の情報セキュリティに口出ししてくるつもりらしい。
 端的に言って大迷惑である。はっきり言って、自衛隊は情報システムに関しては素人集団でしかないからだ。私もシステムエンジニアとして仕事をしてきたからよくわかる。詳しく書くと情報漏洩になりかねないので書かないが。
 自衛隊に日本のサイバーセキュリティを委ねたら、わざわざセキュリティ強度を低くしてくるポリシーを一般国民に強要してくる未来が目に見えている。

 情報セキュリティとは別の話になるが、反撃能力云々とかいうのも、わざわざ射ってくれと宣言してるようなものだという意味では、国防的な意味でのセキュリティ強度を低くしてるとも言える。

 この辺、自衛隊が言いだしてるのか、知ったかぶりの多い自民党が迷惑な花火を打ち上げた結果なのかはわからないが。

 何であるにせよ、俺らが尻拭いをさせられるのは御免だぞ。とっととどうにかしやがれ、てめえらで。
 

 (本当は、独身増税のことについて書くつもりだったのだが。まあ、こっちはまた後日書こう。)