ユーザーブロマガは2021年10月7日(予定)をもちましてサービスを終了します

  • 9割のアカウントはクラックできてしまう件について

    2013-07-29 02:1311

    問い合わせ先を間違ってないですか?

    LINEやらGoogle、TwetterやFacebookなど立て続けにアカウントクラックか最近報告されてますが、それに伴ってか私のところに問い合わせが半端ないです。

    信頼を得られてることはもちろん嬉しい訳ですが、でも何で私に「アカウントってそんな簡単にハッキング(クラッキング)されるんですか?」と問い合わせするんですかね。

    プロフィールを読んでくださいよ。私は今のところIT業界には全く関係のない人間で、いわゆる趣味プログラマです。ITの専門家ってわけじゃないんですよ。

    どうせ問い合わせるのならITセキュリティに定評のあるプロのプログラマさんを探して相談した方が良い気がします。いや気がするどころか間違いなくそうでしょうよ。

    まあただ折角信頼を得られてるんで今回の記事では私が知っている範囲で問い合わせの主な内容であるアカウントクラックについて語ってみようかと思います。

    アカウントクラックは簡単か?

    結論から言えば、ド素人が考えてるよりも簡単にクラックできるという回答になります。

    その理由は様々ですがクラッカーという人間はド素人が思いにもよらない思考と手法で皆さんのアカウントをクラックします。

    root取得は難しい

    Webサービスの全てのデータにアクセスをし、Webサービスの全ての振る舞いを左右できるroot権限(管理者権限)。

    殆どの方々が持つクラッカーのステレオタイプなイメージってこのroot権限を黒い画面でカタタターン!と奪いとるってのが大半だと思います。

    しかし前提を考えてみてください。アカウント型Webサービスの場合クラッカーが真に欲しいのはWebサービスの振る舞いを左右できるroot権限でしょうか?

    イタズラ心や自分のスキルを示したい自己顕示欲のあるクラッカーならそうでしょうが、多くの場合クラッカーが欲しいのはroot権限ではなくユーザーの個人情報なんです。

    root権限を取得するクラッキングは予測される脆弱性を片っ端から洗うという膨大な作業が必要です。時間が掛かる上に脆弱性というのは直ぐに修正されますから労力に見合わない間合いも多いです。

    それはもはやWebサービス管理者というITの専門家と、クラッカーというITの専門家同士の知恵比べであり、両者とも疲弊するだけの喧嘩だったりします。

    ユーザーという名の脆弱性

    確実に欲しいものを得て、相手を蹂躙したいならば弱い相手を選べば良いと思いませんか?

    つまり別にクラッカーはITの専門家と勝負する必要なんて無いんですよ。Webサービスの中にはユーザーというITのド素人が居るのですから。

    Webサービス全体をクラックできなくとも、そのWebサービスの中の極一部、しかも間違いなく脆弱性が存在するであろうユーザーという要素をクラック。そちらの方が断然効率的だ。

    アカウント型Webサービスであるならば価値があるのはWebサービスそのものよりもユーザーであり、しかも弱いのならば狙わないわけないじゃないですか。

    さてクラッカーはどんな手法を使ってユーザーアカウントをクラックしてくるんでしょうかね?

    ディクショナリアタック

    では今回はクラッキングの超基本中の基本であるディクショナリアタック(辞書攻撃)をご紹介しましょう。

    ディクショナリアタックとは読んで字の如く辞書を用いた攻撃手法であり、その辞書とはパスワードに設定されやすい文字列が多数登録されているのです。

    辞書の内容は単語、人名、地名、暦生年月日、住所録などです。その他入力系アルゴリズム(例えばQWERTYなどのキーボード配置)、文字列節アルゴリズム(単語と単語の間に-_.,などの記号を用いる)などが含まれてます。

    ディクショナリアタックを用いると6文字パスワードだと15秒前後でそのアカウントはクラックすることが可能。15時間とか15分じゃなくてたったの15秒です。



    ※ディクショナリアタックをしてるイメージ

    意味を持つパスワード

    多くのユーザーはパスワードへ意味のある文字列を与えやすいです。

    それは何故か?と言えばパスワードは忘れると困るので、記憶しやすいように意味を与えます。

    好きなアニメのキャラクターの名前とアニメタイトルだったり、恋人と付き合った記念日だったり、敬愛する音楽バンドの曲名だったりです。

    しかしディクショナリアタックはその意味のあるパスワードをユーザーが設定しやすいということを逆手に取ったクラッキング手法なのです。

    おそらくこの記事を読んでいる9割のユーザーのパスワードは意味を持ち、ディクショナリアタックにとっておいしいターゲットとなっていることでしょう。

    ディクショナリアタック対策

    ディクショナリアタックの対策手法の基本は意味を持たないパスワードを与えることです。

    意味を持たないパスワードとは、両手をキーボードに置いて目をつぶりキーボードをテキトーに叩いて無作為に選ばれたパスワードなどのことですが、これが非常に記憶しにくいわけですよ。

    せっかくセキュリティ強度の高いパスワードを設定しても忘れてしまったんじゃどうしようもなくなるじゃないですかw

    そこでセキュリティ業界ではパスワードを使わないという方法を推奨しています。

    「えっ?パスワードを使わなかったらアカウント作れないよね?」って感じたかと思いますが、これもまた考え方次第なのです。

    パスフレーズという新発想

    「パスワードを設定してください」とかって書いてあるから皆さんは単語(ワード)を発想してしまうわけであり、別にパスワードは単語じゃなくてもそもそも良いんですよ。

    つまりパスワードは文章(フレーズ)でも良いわけで、例えば「konokijiwoakuyousinaidene(この記事を悪用しないでね)」でも良んです。

    皆さんもどこかで見たことがあり知っているかと思いますがパスワードは長く不規則な文字列を使うことが推奨されています。

    一部のWebサービスではセキュリティ強度を表示してるのもあります。

    しかし長く不規則な文字列は記憶しにくく、結局意味を持つそこまで長くないパスワードになっちゃうのが現状です。

    でもパスフレーズという考え方を用いて設定すれば、ベースが文章なので不規則かつ長めの文字列を簡単に設定できてしまうのです。

    パスフレーズの前ではディクショナリアタックは流石に通用しません。文章は不規則すぎるからです。倒置法の文章とかもありますしね。

    今回のまとめ

    1. クラッカーはWebサービス管理者とガチ勝負する必要ない
    2. クラッカーとしては脆弱性の塊であるユーザーを相手にしたほうが楽
    3. ディクショナリアタックはすごいよ!
    4. パス"ワード"は使わない
    5. パスフレーズが色んな意味で鉄板

    わかってる人向けの追伸

    ド素人に「Webサービス側はブルートフォースアタック対策に云々」って小難しいこと語ったって理解しないと思うんですよ。

    結局はパスフレーズ使わせたほうがセキュリティ強度が上がることは明白ですし「Webサービス管理者がしっかりやってるから安心汁( ゚Д゚)!!」なんて言っても対策してる保証どこにもないじゃないですか。

    昨今は「ド素人がWebサービス作ってみた」系が流行っていますし、どこかのマイナーなWebサービスは対策してないかもしれません。

    なので一緒に流行らせませんか?セキュリティ対策としてのパスフレーズを。

    以上です。長文にお付き合いいただきありがとうございました。


  • 広告
  • ニコニコ超会議2終焉でもエンターテインメントは終わらないんだぜ!w

    2013-04-28 22:20

    お疲れ様でした

    ニコニコ超会議2に参加来場した皆様お疲れ様でした。

    私は仕事の都合でネット視聴しかできませんでしたが、皆様が楽しまれている姿を見るたびに心がほっこりしました(*´∀`)

    やはり制作・表現するというものは良いものですね。これほどの楽しさ面白さを生むことができるのですから。

    日常へ戻る

    また再び日常へ皆さんは戻るわけです。これは冷めるような一言なんかも知れません。その場へ居なければ皆さんはただのネト充なのかも。ただの学生や社会人なのかもと思います。

    しかしながら私は思うのです。エンターテインメントは皆さんがやめない限り終わらないと。

    ニコニコ超会議2での盛り上がりを維持するのは皆さん一人一人が制作・表現を続ければ良いのだと思うのです。いやそう確信しております。絶対そうであると。

    憧れ

    あのステージに立つ、あのブースに居る制作・表現者を見て何十、何百、何千、何万人の人々が憧れをその胸に抱いたのでしょうか?

    僕も、私も、俺も、おいらもやりたい!どれだけの人がそう思ったのでしょうか?

    今このブロマガを読んでる人がその熱い感情を燃やしているのならば今すぐ始めるべきだやりたいことを。

    今すぐググれ歌い方を、踊り方を、作り方を、今やりたいことを。

    責任

    あのステージに立った、ブースに居た、そしてニコニコ超会議を企画した運営には責任をとってもらわないといけないですねw

    多くの人々へ熱を入れた責任を取らないとw

    責任としてより楽しく、面白く、ニコニコできることをやってもらわないといけないw

    そうやってどんどんエンターテインメントを続けましょう皆でずっとね(・∀・)

    以上です。長文にお付き合いいただきありがとうございました。


  • 学生でも稼げるブロマガを考えてみた

    2013-04-27 21:198

    有料の一般開放

    ゆるオタ残念教養講座を書かれている海燕氏がこんなことを言ってました。

    これから先、おそらくブロマガは一般にも課金制が導入されることでしょう。

    どうすれば「責任」と「収入」のバランスを取れるか。プロブロガーへ続く最短の道を探る。

    この意見は理解できなくもないのですが、引用元の記事で私がコメントしている通りに、私が運営ならば制度によってユーザーをやる気の部分で取捨選択した方が良いと感じます。

    つまり、ここで言う制度とはメディアプラン申請を面倒と感じるユーザーはそこまでブロマガで金稼ぎしたいと考えていないユーザーであり、やる気の欠如が感じられるので、わざわざ運営は有料枠を与える必要はないという考え方ですね。

    稼げるブロマガ

    では私の考える稼げるブロマガとはどんなものか?を記していこうと思います。

    ただやはり一般ユーザーへの課金制開放はどうなるかわからないので、今回の話は現状のシステムで稼ぐということにします。

    ノウハウへの欲求

    もう2ヶ月も前になりますか、人生がつまらないのはアナタ自身がつまらないからブロマガで有名になる方法で私が示したニコニコユーザー持つ潜在的なノウハウへの欲求。概ね当たりましたね。

    現在のブロマガランキングを見ると積極的に活動している有名な人のブロマガか、講座系記事がランクインしています。

    ということはやはり稼げるブロマガとして設定するには、このノウハウへの欲求を刺激する講座系のブロマガが良いのではないか?と私は考えます。

    私が有料化するなら

    これは私が有料化するのであればという話ですが、現在の鍛造の非生産的な話をそのまま有料化することはありえませんね。

    1記事1,000アクセス超、多い記事なら4,000アクセス近いとは言えこの鍛造の非生産的な話を始めたときは無料であるということを想定して始めました。

    始まりの部分が無料を前提として作ってあるので、これをそのまま有料化しても折角4,000アクセス近くを得るまでになったこのブログの実績を一旦リセットする行為と同じなわけです。

    少なくとも十数名くらいは有料化しても鍛造の非生産的な話を読んでくれるだろうという自信はあります。しかしそれが二十名を超えるか?と言われれば厳しくなるでしょう。

    有料版鍛造の非生産的な話は約二十名からのスタートとなるわけです。これは非常に大変です。

    これを今の水準へ戻すには海燕氏のように本当に全てをブログ執筆へ当てなければ不可能です。逆に言えばブログ執筆へ全てを当てられるのなら今の水準へ速攻で戻す自身はありますけどね。ただやはり私は安定収入のほうが良い(笑)

    一人じゃなければ良い

    つまり一人じゃなければ良いんじゃないかと思うんですよ。

    私一人の実績で勝負するのではなく、多くのクリエイターが自らの実績を活かして一つの有料ブロマガへ講座を寄稿する。そんな風にすれば良いと。

    それぞれには私生活や本業がありますが、それを今まで程度の労力(普段通りブロマガで講座を書く程度)で人を集めるのならクリエイターがたくさん居れば良いのです。

    2DCGや3DCG、DTM、DTV、プログラミング、技術部etc...それぞれのクリエイターが一堂に会して講座を行う。これワクワクドキドキしませんか?w

    1記事読みきり

    クリエイター陣が寄稿する記事は1記事読みきりの形式を取ったほうが良いと感じます。つまり「この講座は次回へ続く」とならないってわけですね。

    この理由は講座を受講する購読者の集中力を切らさないためというのがまず1つ。途中までやって次の記事が来るまで購読者の手が止まるのはあまり良くないと経験談で感じます。連載で全ての人が完成できるのならばディアゴスティーニも完成できるだろうよとw

    そしてもう一つの理由が連載という責務を負わないことでクリエイター陣の予定が立てやすくなり、コミケ締切りとかでも安心な感じになるんですね。当然本業への影響も少なく出来ます。寄稿したい時に寄稿できるわけですから。

    毎月の定期購読したくない人や特定のクリエイターを贔屓にしている人も1記事読みきりならば購入しやすいですしね。

    売上

    売上は寄稿した数で均等に割れば管理や計算もしやすく平等で良いと思います。

    数を寄稿すればするほどロイヤリティの割合も増すので努力に見合った成果が反映されますしね。

    割ると中途半端な端数が出る場合もありますが、その端数は最もアクセスを集めた記事のクリエイターへボーナスとして与えるのも面白いかも知れません。

    前例

    ドワンゴのメディアプランへこれらを申請するときも出版社のハウツー書という前例があるので比較的通りやすいのではないかと私は推測してます。

    お金を払ってでも知りたいノウハウがある。そういう需要は過去の出版から推測できますので。

    私が発起するのなら

    私がこの有料ブロマガを発起するのであれば、既に講座記事の執筆をいくつも行なっているのでクリエイター陣からの執筆内容の相談に乗りやすいという点があるかも知れません。アクセス数もそこそこ稼いでいますしね。

    更に言えばマルチなクリエイティブを趣味であれやっているので意思疎通がしやすいというのも美点です。CGであれDTMであれプログラミングであれ、記事の書き方とか校正とか、そもそもどんなネタで行けば良いのかとかアドバイスできます。

    これはおそらく他の発起人にはない私の長所だと客観的に考えて感じます。

    もっと楽しく

    この有料ブロマガはどんどん楽しくすることができます。

    そもそもクリエイターが一堂に会するというネタなので直ぐさまクリエイティブチームを結成して何か総合的な作品、例えばゲームなどを直ぐに作り始めることができるんですね。

    更に言えば「DTMerが語るこれには困ったこんな絵師!」なんていう異業種の声を対談という形で紹介するなんて企画も可能ですし、「クリエイターばかりのニコ生」なんてネタも面白そうです。こういうのは一人で講座系ブロマガやってるとできない企画です。

    目立つ

    そして、そうやって目立ってれば確実に運営から声がかかります。断言しましょう確実にです。声がかかります。

    それは何故か?理由は有料ブロマガという時点で金銭的な利益が発生しているからです。お金が動いているんですね。

    ドワンゴは営利企業ですからお金の動きがあれば敏感に反応します。むしろこの有料ブロマガが目立てば声をかけざるえないでしょう。会社ですもん。

    運営からのバックアップを得て、更にこの有料ブロマガの知名度、経ては寄稿するクリエイターの知名度が上がります。

    そうなれば何らかのイベント(ニコニコ超会議とか)へ招待されるでしょうし、コミケなどへ合同本を出せばそれなりの数字を見せるでしょう。

    ノウハウを知れて購読者は嬉しい、楽しみながらお金儲けで来て寄稿クリエイターも嬉しい。ホリエモンでいうWinWinってやつですねw

    こんな感じです

    私の考える稼げるブロマガとは前述のような感じですね。

    これをリストでまとめるのならば以下のような感じです。

    • 多数のクリエイターで1つの有料ブロマガを運営する
      • 理由
        • クリエイター陣の実績を集合させるため
      • 1記事読みきり
        • 寄稿クリエイターの本業を大事にし労力を減らす
        • 購読者の利便性を高める
      • 利益は均等に割る
        • 計算しやすい
        • 管理しやすい
        • 平等
      • より面白くできる
        • クリエイティブチームの速攻結成が可能
        • 異業種がいるからこそのできるバラエティ豊富な企画
      • 目立つ
        • 多くのクリエイターが居る時点で目立つ
        • 利益が出ることでドワンゴの目にも入る
        • 他のイベントでも売上向上が見込める

    とまあこんな感じです。

    このネタ、私自身も非常に面白いなと感じてます。「前向きに考えたいな」「ちょっと気になることがあるんだけど」と感じるクリエイターさんが居らっしゃるのであればtanzo.foo@gmail.comまで御一報ください。いくらでも詳細をお話したいと思います。

    以上です。長文にお付き合いいただきありがとうございました。