空中の杜

旧名「空気を読まない中杜カズサ」。

「ブロックパス」によるセキュリティ強化の可能性について考えてみる

先日書いた『盗難されたキャッシュカードを引き出されにくくするための簡単な方法』がなんかかなり注目していただいたみたいでありがとうございます。
で、そこでブクマコメントも数多く頂いたのですが、興味深いコメントがありました。

>id:temtan セキュリティ 逆に、この番号を入力されたら即刻通報されるみたいな番号を設定するとか面白そう
>id:yuu013 ブロックパスというのをシステムで実装して、そのパスを入力すると勝手に通報されるシステムにしておけば・・・いや、自爆したら笑えないけど。
>id:fjsk 逆に、これを入力したら一発でアウトって番号を設定できるとおもしろいかもと思う。んで誕生日は一発アウトにしておくと。
etc

これ、方法次第ではかなり使えるのではないか、と思ったので、今日はここからネタを借りていろいろ考えてみました。

前提

まず、認証が必要なシステムの初期設定時に「暗証番号(番号じゃなくても可)」とは別に「ブロックパス」というのを設定できるようにします。これはATMでもネット認証でも出来るでしょう。ただしあくまでこれの主旨がわかった上での任意設定で。というのはわけもわからずに設定すると、絶対にブロックパスのほうを入力する人が多発する気がするので。あと、後述の理由により、設定しない人も存在する必要があるため。

機能

暗証番号を打ち込めば当然そのロックを通過しますが、逆にブロックパスを打ち込むと、回数制限を待たずにロックがかかります。で、それだけだと面白く……いや、特徴的にあまり効果がないので、その番号を入力した途端、番号を入力した人の身元が特定できる、もしくはしやすいようにしたらどうでしょう。例えばATMなら、その時点でロック→登録している携帯メールなどにブロックワードが打ち込まれたATMの場所、時間などが届くという感じ。もうちょっと進めば、そこ周辺1分くらいだけ防犯カメラのデータを他よりも長期保存したりするとか(これは非公開でしょうが)。ネット認証なら、それが打ち込まれたIPアドレスを記録するとかでしょうか。

効果

これによっての効果は、犯人がすぐ捕まるという強いものには出来ません(理由は後述)。しかし、防犯的な効果はそこそこあると思います。というのは、現状のATMでは、こういった引き出し盗難が起きるのは、暗証番号を打ち込んで、たとえ3回をオーバーしてもそれをした人に何の不利益もないのですよね(もちろん詐欺とか殺人とかになれば怪しまれる要因になるでしょうが)。ですのでスリをしてダメモトで試行なんてこともあり得るわけです。これはネットパスでも同じで、手当たり次第やって出ればOK、出なくても時間を消費するだけというところがあります。あと、アプリによって総当たりパス検索ができそうなものもあるかもしれません(ローカルならpikaZIPみたいなの)。

しかし、このようにブロックパスを仕掛ければ、少なくとも誰かが忍び込もうとしたことがわかり、且つロックできるわけです。それに実際に入力する以前に「暗証番号らしきものが、実はトラップかもしれない」と周知することが出来るだけでも、十分効果があるわけです。つまり今までは存在しなかった盗難物での暗証番号入力ですが、ここでブロックパスがあることによって、もし万が一それを踏んでしまうと犯行が発覚するというデメリットを背負う、と認識させられるので、盗難&トライ自体が減るのではないかと。ついでに、総当たり式アプリも使えなくなりますね。特にネットで本当のパスワードよりも、ブロックパスを短く設定していれば。

つまりはブクマコメントで、PCにidとパスが書いたメモが貼ってあったけどあれも罠か! というコメントがありましたが、これをネタとしてではなく、本当にトラップにしてしまうという感じですかね。

ちなみにブロックパスの設定で一番妥当なのは誕生日でしょうね。で、前述の「ブロックパスを設定していない人の存在」が生きてきます。つまり罠か、いや一周して本物かを迷わせることが出来ると。そこブロックワードのことを知っている犯人は、ATMの前で、この番号は本物か(あまり暗証番号に気を遣わない人か)、いや、ブロックワードのことを知っていて設定している人の罠かとカイジばりに考えたりして。さらにここで先日のダミー暗証番号記入とか使えば、さらに効果的かも。

問題点

しかし、わざとブロックパスを入力される場合というのも考えておかなければいけません。それは現在暗証番号が盗まれるように、ブロックパスを盗難されるような場合。そのときにあまり逮捕とか永久停止の効力を持たせてしまうと、悪戯されるケースもあります。また、混乱を増やして、それ自体をスパム化してしまうこともあり得ます。ですので、入力即通報という強制力のあるものまでは出来ないでしょうね。あくまで本当の持ち主に連絡が入ってロックするくらいかな。

実は、本筋とは関係ないダミーのシステムを用意して、ログインしてからどういう手順を行うかのログをとっておくというのも考えたのですが(つまり、お金を振り替えしたら、実際にはダミーなので金は移動しないけど、その移動しようとした口座のログが残り、犯罪に使われる口座を封鎖できるという感じ)、これは逆に悪用して、自分の口座からブロックワードを使って罪のない人にお金を送金して陥れるということも起こりかねないので、実際に使うのは難しいかも。


以上のようなの、原理的にはそんな難しくないと思うのですが、どうかなと(実装はいろいろ難しそうですが、ATMじゃなくてネット認証くらいなら出来るかな?)。でも、別に新しいものではなく、たとえブロックパスではないにせよ、こういう「○回間違えたらロックだけではなく連絡が行く」みたいなのを実装しているネット認証システムってあると思うのですけどね。それの応用です。


ちなみに、これを利用してゲームを作れないかなあと暫く考えていましたが、番号じゃなくて言葉とか、いっそネット通信でとか考えているうちに一周して、人狼BBSにたどり着いてしまったり。つか、人狼BBSの発想から、いろいろなものを生み出すことってまだ出来そうな気がします。

■参考:人狼BBSが僕達に教えてくれたこと。