6/07/2011

[IT] RSA SecurityのSecureIDがクラック

いわゆるワンタイムパスワードの代名詞、RSA SecurityのSecureIDがクラックされ、実際に悪用も確認された結果、全端末交換するハメになったとか。トークンを利用した、使い捨てとも言われる毎回生成型のワンタイムパスワードは、ユーザ側でのパスワード管理の不備による脆弱性を解消出来る技術として、意外にというかそれなりに普及していますが、それ自体がクラックされてしまった、と。これは酷い。本件、ロッキードマーチンとかでSecureIDのクラックがあった、との噂自体は少し前からあった筈ですが、それを公式に認めて、交換等も公にアナウンスされたという事で、ニュースとしてはさほど新規ではないですね。ただ、特定顧客に止まらず、全個体がアウトだった、というのは、SecureIDのしくみ自体の設計の拙さを示すものでもあって、改めてそれなりに驚きやら失望やらを感じる所であります。

もちろん具体的にどういう情報が盗まれて、どう悪用されたのか、その技術的な詳細は公表されていないし、これからも明らかにされそうもないわけですけれども、全部がアウト、という事ですから、おそらくはジェネレータにあたるマスターキーが流出したか、トークン中の無防備なパスがバレたか、そのあたりの話だろうと推測されます。この種のクラックが一度発生すると修復は不可能になる、だから全交換、とそれ自体は当たり前の話ではあるでしょう。

被害の規模については、一応公式発表では4000万ユーザとの事で、数だけならばソニーの個人情報流出の件よりは少ないわけですが、その質、損失の額で見れば比較にならないほど深刻であろうかと。いかにもユーザ側に手間のかかる面倒なシステムなので、本当に必要とするユーザしか購入していない筈のSecureID、それだけ高いセキュリティを必要とする多数のユーザを危険に晒すもの、という事になるわけですから。それがそんなに売れていたというのは驚きですけど、この規模だと、ひょっとしなくてもRSA Security死亡確定かも。国内でも、NTTデータや富士通、NECをはじめ、多数のSIerがSecureIDを窓販していた筈で、実際にサービスに採用している所も多数あるし、少なからぬ影響がありそうです。

この種のシステム、サービス一般の観点から言えば、方式自体、その基礎に内在する致命的な欠陥を放置して来たツケが回ってきたもの、との見方も出来るでしょう。ソニーの件もそうですが、セキュリティ関係の技術は、一般的に、効率面等の事情から、この手のマスターキー等の、運営主体側で保持する秘密情報に依存する事が殆どで、かつその部分はさほど強固な保護は施されておらず、しかしこれが漏れると全てご破算、という致命的な弱点を抱えがちになるものなのです。けれども、商機を優先して、そこには目を瞑り、見切り発車的に事業を展開して来たのですからね。

技術的、事業的にはそれが限界であって、しかしそれを正直に言うと売れない、売らないと事業を継続出来ない、という厳しい事情はあるんでしょう。だからといって、そういう製品を、留保なしに安全ですと殆ど言い切る形で売ってきた事、それは詐欺には違いないわけで、関係する業者はもちろん技術も当然に淘汰されるべきだと思いますし、この手の安心安全を謳う製品、技術は疑ってかかるべき、とそういう認識が一般にも広まる事を願う次第です。結局被害を被るのはユーザなのですから。

米で使い捨てパスワード情報盗難、端末4000万台交換へ RSAセキュリティの主力製品

RSA SecureID hackers may have accessed Lockheed Martin trade secrets, cafeteria menus (update: no data compromised)