Windows XPサポートにIT業界の責任論を持ち込む不見識

久々に大炎上の可能性を秘めたIT業界クラスタの記事を目にしました。

これは以前、「入社して最初の10年は泥のように働いてもらい、次の10年は徹底的に勉強してもらう」というプライムベンダーならではの上から目線で学生から不評を買った、IPAのカンファレンスで理事長の口から飛び出した迷言に匹敵するかもしれません。

10年働くソルジャーが欲しい重鎮のホンネ(2008年6月)
http://it-ura.seesaa.net/article/99469095.html

どんな飛ばしたエントリーかと言いますと、それはWindowsXPのサポート切れ問題を取り上げたものです。聞いたことがあると思いますが、

同製品は2001年にマイクロソフト社からリリースされたOSです。非常に優れた製品であったこと、後続のOS(Vista)の使い勝手が悪かったこともあって、発売から13年が経とうとしているのに、まだ様々な企業で利用され続けています。しかし、そのサポート(一部組み込みを除く)を2014年に打ち切るとマイクロソフトが宣言していることで、新しいOS(Windows7、Windows8.1)を搭載したPCに買い替えなければならないという状況にあります。

詳しい背景はITmediaの記事が詳しいので抜粋します。

「すでに最大で12年半ほど稼働しているOSだ。ドッグイヤーといわれるITの世界での12年という寿命は驚くべき長さだというのが筆者の感想だ。問題なく動いているようであっても、内部で使われている技術はすでに時代遅れのものとなってしまっているものも少なくはなく、現在のトレンドにそぐわない状態にある。
(中略)
サポートが終了したバージョンでは、原則としてセキュリティ対策は行われない。Windows XPについては2014年4月9日（日本時間）が最終日ということになり、この後に発見された不具合や脆弱性を攻撃者側に突かれると、システム的に防御が難しく、攻撃に対して無力になる。Windows XPにもまだ何らかの不具合が内包されている可能性は高く、また技術の進歩により当時は思いもしなかった新たな手段による攻撃もありえる。ファイアウォールなどで対応できる程度であればよいが、攻撃者としてもそんな部分は想定済みと思われる。
住宅で例えると崩れそうだけど改修しません／できませんという状態、自家用車では自賠責保険切れで走ることに例えられる。自分以外に、他人にも影響を及ぼす可能性があるわけだ。」
(そもそもWindows XPはなぜサポートを終了するの？)
http://www.itmedia.co.jp/pcuser/articles/1402/18/news056.html

要するに、XPは市場への影響を考えて特別扱いされてきた製品であったが、これ以上新しい技術に対応することが難しくなってきたため、捨てざるを得なくなったということです。IT業界にいると、これくらいの話は一般教養のごとく理解されている話なのですが、一利用者の視点からすると違った見方をされてしまうことがあります。冒頭で触れた炎上記事がそれです。

その炎上記事はZDnetに掲載されています。

「セキュリティベンダー主要各社の代表も登壇してWindows XPのセキュリティリスクと新しいOSへの移行を訴えていたが、中には「サポート終了の話は何年も前から告知されてきたことなので、4月になって間に合わないというのは怠慢だ」とのコメントもあった。
「怠慢」との表現はいかがなものか。確かに、以前から告知されてきたにもかかわらず、無関心なままのユーザーもいるかもしれないが、企業の中にはWindows XP上で利用している特殊なアプリケーションソフトが移行できなくて困っているケースも少なくない。
(中略)
そんな企業からは、「もともと誰が提供したものなのか。今回の移行に伴ってIT業界が潤う一方で、われわれが苦しい状況に追いやられるのはどうも納得がいかない」との恨み節さえ聞こえてくる。
(中略)
日本マイクロソフトは、4月までに国内で使用されているPCの1割までWindows XPの構成比を引き下げたい構えだ。逆に言うと、少なくとも1割は残る。その1割のユーザーに対するケアは、IT業界の責任でもある。」
(Windows XPサポート終了におけるIT業界の責任)
http://japan.zdnet.com/cio/sp_13matsuokaopinion/35044036/

この記事に対して２つ考えておきたいことがあります。

・ソフトウェアが数年に一度の入替を要することをユーザーは無視して良いのか？
・一度作ったものはユーザーがゼロになるまでケアし続けるという発想は必要か？

１点目について、これを許してしまうとソフトウェアライセンス契約の債務不履行を認めてしまうことになりますし、ITを利用する人たち全体の利益を損なうことになります。その理由はこのエントリーの前半で挙げたITmedia記事の「住宅で例えると崩れそうだけど改修しません／できませんという状態」という内容が該当します。

住宅には施工事業者が10年保証などを掲げ、それ以降に発覚した瑕疵への責任は基本的に負いませんね。もちろん道義的な責任を取って居住者への補償を行うこともあります。今回のWindowsXPのサポート打ち切りに際しては、2年以上前からPCのリプレースをマイクロソフトが訴えていましたし、関連するベンダーもクライアントへ提案していたでしょう。

そもそもソフトウェアの定期的な入れ替えは、アプリケーションの導入時にベンダーから説明があったはずですが、それを無視して使い続けるユーザーを許容してしまえば、法治ではなく人治に基づく非合理的な社会になってしまいます。
※もしその説明を怠っていたベンダーがいるなら、一定の責任を負う必要はあるでしょう。

２点目について、ユーザーがゼロ(極小)になるまでケアし続けるという発想は製造業で見られる話ではあります。30年前の石油ファンヒーターがリコールでCMを流しているのを見ることもありますね。

ですが、こうした公知が必要なリコールは人命に影響するレベルで採られる策であって、利用者の経済的な問題レベルで行われることはないでしょう。いわんや、クライアントPCのOSサポートが製造業のリコールと同じ扱いであるとは思えません。

もっと基本的な話として、生産中止(ディスコン宣言)された製品の部品を一定期間保持することは製造業で求められることですが、WindowsXPのサポート打ち切りについても相当前から周知がされていました。

以上のことから、ZDnetにある煽り記事は根拠不十分で、一方からの勝手な物言いであるように私には感じられました。Twitterのタイムラインを見る限りでも、私と同じ感想を持たれている方は多いように見えます。

ITベンダー側へ文句をつけることは簡単ですが、するにしてもある程度の合理性を踏まえてほしいと感じた次第です。

世界の６人に１人が８時間利用するFacebookの驚異

Facebook(フェイスブック)といえば、今や世界最大のソーシャルネットワーキングサービスであり、アクセス数はGoogleをも凌ぐという超巨大サイトです。そのフェイスブック、2014年の２月に開設10年目を迎えました。これを記念して、CNNでその足跡と数々のワールドレコードを公開していたので、それを紹介します。

(By the numbers: 10 years of Facebook)
→ http://edition.cnn.com/2014/02/03/tech/social-media/facebook-graphic/index.html
※統計情報は2013年６月あたりのものだと思われます
14年２月時点であれば、以下に示す数字を1.2倍くらいした方がいいかも

【ユーザ数】
知っていましたか？ いまやフェイスブックは世界の６人に１人が利用しているのです。月間アクティブユーザー数(一ヶ月あたりに１度以上アクセスしたユーザー数)は、なんと12.3億人。日本の総人口のおよそ10倍です。

内訳は次の通り。

・北米 ：2.0億人
・欧州 ：2.8億人
・アジア：3.7億人
・その他：3.8億人

そして、国別で見るとベスト10はこのようになります。

１位：1.58億人 アメリカ (人口：3.1億人)
２位：0.72億人 ブラジル (人口：1.9億人)
３位：0.64億人 インド (人口：12.4億人)
４位：0.48億人 インドネシア (人口：2.5億人)
５位：0.43億人 メキシコ (人口：1.2億人)
６位：0.33億人 トルコ (人口：0.7億人)
７位：0.32億人 イギリス (人口：0.6億人)
８位：0.30億人 フィリピン (人口：1.0億人)
９位：0.25億人 フランス (人口：0.7億人)
10位：0.25億人 ドイツ (人口：0.8億人)
----------------------------------------------
14位：0.21億人 日本 (人口：1.2億人)

もちろん利用者数が最大だったのはアメリカ合衆国ですが、驚きだったのは、ブラジルでのフェイスブックの利用者が多いことでした。そして、同じくらい驚いたのは、人口7000万人前後のトルコでフェイスブックの利用者が3300万人を超えていたことです。利用率は47％であり、米国の51％に次いでいます。

※利用率だけなら、１位はブルネイ(70％)、２位は台湾(64％)

なお、日本は利用者数が昨年８月時点で2200万人を超えましたが、世界ランキングでは14位の位置にあります。フェイスブック後発国と言われていますが、思ったより利用者が多いですね。

【利用時間】
これらのユーザーがいったいどれだけの時間をフェイスブックに費やしているのでしょうか。実は月当たり7.75時間です。１日あたり15分ということで、これは実感できるレベルですね。

アクティブユーザー数に関連しますが、毎日フェイスブックにアクセスしている人は、なんと全体の６割にも及ぶそうですよ。これは７億人以上にのぼると思われます。これだけの人が１日15分フェイスブックにアクセスしていると考えると、フェイスブックというのは大変な広告価値を秘めた媒体だということが分かります。

実際、フェイスブックは広告宣伝モデルをベースとしたマネタイズを図っており、１ユーザーから平均2.1ドルの収益を得ている計算になるそうです。北米ユーザーに限れば、平均６ドルにまで跳ね上がります。

【いいね！数】
フェイスブックがこれほど人気を博したのは、各人のエントリーに対して友達が「いいね！」(英語圏だとLike!)と簡単に意思表示できるところにあったのではないでしょうか。この点についても実に興味深い数字がCNNで示されています。

まず、１日あたりの総いいね！数。

フェイスブック全体で１日あたり押されているいいね！数をカウントしたところ、平均で60億回のいいね！が押されていたそうです。さきほど、月当たりのアクティブユーザーが約12億人、このうち毎日アクセスする人は６割いるとの情報を示しましたが、この数字を使って総いいね！数を割ってみるとどうなるでしょう。

答えは、１ユーザーあたり毎日８回のいいね！押下となります。

60億回という数字を見た時にはその膨大さに驚きましたが、これも肌感覚として「近い」と感じることができるレベルではないでしょうか。

ちなみに今までで最も多くのいいね！を集めたのは、オバマ大統領が2012年に再選した際、妻と抱き合っているシーンを写した写真でした。その数、なんと440万いいね！

他にもフェイスブック10年の足跡やトリビアがCNNの元記事には掲載されています。気になった人はぜひ参照してみてください。全編英語ですが、非常に単純な記事なので一目でわかります。

JAL「不正アクセスされたけどパスワードは数字6桁で十分」

JALマイレージバンクの不正ログイン＆マイル盗難事件で、日本航空の広報担当が発表したパスワード強度の考え方がネット界隈で騒がれています。

ITmediaのニュースで以下のように報じられています。

『日本航空は2月3日、「JALマイレージバンク」のWebサイトに不正ログインがあり、一部ユーザーのマイレージが第三者によって引き落とされ、Amazonポイントに交換されていた可能性があると発表した。
(中略)
同社はメールとWebサイトを通じ、全ユーザー2700万人にパスワードの変更を依頼。JALマイレージバンクのパスワードは数字6ケタだが、数字だけのパスワードが脆弱という認識は「ない」（同社広報部）としており、ケタ数を増やしたりアルファベットを加えるなどの強化策は「検討していない」という。』
(「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」)
→ http://www.itmedia.co.jp/news/articles/1402/04/news075.html

私もJALマイレージバンクを利用していますが、以前からパスワードの桁数が６桁短く、しかも数字しか使えないことに不満を抱えていました。その理由は次の２点です。

【１】パスワードの複雑度が低くて安心できない

多くの人がこの点に難色を示しているものと思います。パスワードがシンプルであれば「覚える文字が少なくて済む」という利点がありますが、裏を返すと、「他人から推測されやすい(クラッキングされやすい)」ということでもあります。

「数字、文字、記号で構成された長いパスワードを使用しましょう」

これはGoogleのガイドラインに示されているパスワード作成の注意事項です。皆さんの中には「それくらい当たり前」と考えている人も多いでしょう。ネット上のウェブサービスの中には、大文字・小文字・数字・記号から３種類以上を組み合わせたパスワードを作成するよう要求されることもざらにあります。

たとえば、パスワードの長さと解読時間の関係性を示した英国のレポートがあり、これによると、数字６桁のパスワードは15年前のパソコンを使っても、たった５分で解読できると述べられています。

(パスワードの長さと解読時間の関係性)
→ http://it-ura.seesaa.net/article/386979486.html

このようなトレンドの中で、いまだに６桁でしかも数字のみ入力可能であるというJALマイレージバンクのパスワードポリシーに不安を覚えるユーザーも多いです。事実、Twitter上ではこのことについて「不正アクセスを受けたのに、パスワードポリシーは数字６桁を維持ってバカすぎる！」との声が数多く挙がっています。

【２】他のウェブサービスのパスワードと兼用できない

さきほどのGoogleのパスワードポリシーには、ひとつひとつのウェブサービスに対して個別にパスワードを用いるべき、とありましたが、おそらく世の中の大半の人はそんな面倒くさいことを避け、いくつかもしくはすべてのサイトで共通のパスワードを利用しているのではないでしょうか。

これについて、セキュリティ専門家の現実的なパスワード運用方法を以下のリンクで示唆していますが、それでも大文字小文字や記号を組み合わせた８文字以上の文字列をベースにすることを推奨しています。

(安全性と使いやすさを兼ね備えたパスワードの作り方)
→ http://it-ura.seesaa.net/article/386979486.html

しかし、JALマイレージバンクでは数字６桁のパスワードしか許していません。ということは、このサイト用にシンプルで脆弱と考えられるパスワードをわざわざ覚えて運用しなければならないのです。私にとっては、これこそが最大の不満です。

ここまでの流れで、JALマイレージバンクのパスワード管理は大変な脆弱性を孕んでいると懸念を覚えた方はいることでしょう。しかし、これはJALだけの話ではありません。

冒頭のITmediaニュースにある通り、全日空のANAマイレージクラブは数字４桁のパスワード管理に留まっています。日本航空は、パスワード盗難が発生しながらも数字６桁のパスワード管理に脆弱性はないと宣言しています。

それはなぜでしょう。世の中には、数字４桁で運用している金銭に関わるサービスが多数あるので、それと照らし合わせて考えてみます。

たとえば、銀行ATMのログインパスワードは数字４桁ですし、携帯電話のネットワークパスワード(契約内容変更等に使うパスワード)も数字４桁で運営されています。しかし、これらは利用者の手元にキャッシュカードや携帯電話本体といった「認証デバイス」が存在していることを前提とした２重セキュリティになっているため、数字４桁であってもセキュア度合が根本的に異なります。

ではクレジットカードによるオンラインショッピングはどうでしょう。オンラインショップで入力するのは、カード番号と有効期限、それからカード固有のセキュア文字列です。これらの情報さえあれば、実物のクレジットカードを手元に用意する必要はありません。クレジットカード認証は、入力ミスが規定回数に達すると決済をロックするようになっているので、総当たりの入力によるクラッキングを防ぐ仕組みとしています。

この仕組みはJALマイレージバンクやANAマイレージクラブにも採用されています。つまり、ログインを規定回数失敗すると、アカウントをロックするのです。この仕組みがあるから、日本航空の場合、数字６桁でも脆弱性に問題はないと述べているように思えます。

この論理には一定の合理性があります。マイクロソフト社の技術サポートサイトでは、次のような見解が述べられています。

『(前略)オンラインのブルート フォース パスワード攻撃(総当たり攻撃)は何百万もの他のユーザー アカウントのパスワードの組み合わせを実行するのに自動化された方法を使用できます。 実行できる失敗したログオンの回数を制限する場合はこのような攻撃の有効性がほぼなくなることができます。(後略)』
(脅威とその対策: アカウント ポリシー)
→http://technet.microsoft.com/ja-jp/library/hh125920%28v=ws.10%29.aspx

要するに、ログイン回数制限を設けることで、シンプルなパスワードであってもクラッキングされにくくなる、という理屈です。

JALマイレージバンクもANAマイレージクラブも、「�@パスワードの文字数＆文字種類アップさせるシステム改修費用」よりも、パスワードロックルールを設けることで残存する「�A顧客被害時の補償金額」の方が相当小さいと判断したのだと思います。

しかし、前述のクレジットカード業界では、�@よりも�Aの方が相当大きいと判断したため、オンライン認証(クレジットカード固有情報の入力＋クレジットカード会社サイトでの複雑なパスワード認証)の仕組みを導入し始めています。

JALマイレージバンクとANAマイレージクラブのセキュリティ向上が果たされるには、�Aが相当に大きくなる必要があるのでしょうね。

パスワードの長さと解読時間の関係性、実践的なパスワード文字列

私たちがインターネット上で使用するパスワードの強度と設定基準の考え方について、参考になる情報を収集しました。最初に、パスワードがシンプルであるということが具体的にどの程度のクラッキング時間に該当するのかを示し、これを踏まえてGoogleのガイドラインとセキュリティ専門家の見解を後述しています。

【パスワード長と解読時間の関係】
Lockdown.co.ukが2009年に行った試算によると、総当たり攻撃によるパスワードの解読時間は、次のとおりとしている。
http://www.lockdown.co.uk/?pg=combi&s=articles

・8文字の大小英数字および記号を含むパスワード
→高性能パーソナルコンピューターで23年間
→コンピュータ・クラスターで2.25年間
→スーパーコンピューターで83.5日
・8文字の大小英数字を含むパスワード
→高性能パーソナルコンピューターで253日間
→コンピュータ・クラスターで25.25日間
→スーパーコンピューターで60.5時間
・6文字の大小いずれかの英字だけのパスワード
→Pentium 100MHzのPCで5分間〜8.5時間

【Googleのパスワードガイドライン】
・メールやオンライン バンキングなどの重要なアカウントにはすべて固有のパスワードを使用する
・パスワードは簡単に見つからない秘密の場所に保管する
・数字、文字、記号で構成された長いパスワードを使用する
・自分だけが知っている語句を使うようにする

※「My friend Tom sends me a funny email once a day」という文を考案し、その文から数字と文字の配列を作って使います。たとえば「MfTsmafe1ad」

【安全性と使いやすさを兼ね備えたパスワードの作り方】
過去12年に渡り、大企業における盗用や詐欺、組織犯罪、企業スパイといった事例の調査に関わり、監視、コンピューター法科学、倫理的ハッキングなどについての著書もあるセキュリティのエキスパート、Brandon Gregg氏のアドバイスを参考に考察しました。
http://www.lifehacker.jp/2012/10/121019password.html

・「脆弱なパスワード」の3パターンを避ける
→簡単に推測／破ることができるパスワード
→忘れやすいパスワード
→多くのサイトで共通して使っているパスワード
・シンプルな英数字だけではパスワード無の状態とあまり変わりはない
・大文字と小文字、1つ以上の数字や記号を組み合わせた8文字以上のパスワードはまあまあ安全
・1つの複雑な基本パスワード＋サイト別の要素はかなり安全
・2段階認証＋自分すら知らないパスワードは非常に安全

※2要素認証により加えられるセキュリティーのレイヤーを、他者が通り抜けるのはほぼ不可能です。「普通の」パスワードを入力したあとで、さらにGoogleなどのサイト側からユーザーの携帯電話に送られてきたテキストメッセージを使うからです。ハッカーにとって（携帯電話に『FlexiSPY』のようなモニターツールがインストールされていない限り）他人の携帯電話を見るというのは難しいことです。さらにこの方法は、攻撃を受けた際の警告にもなります。もし、午前2時に突然認証コードが携帯電話に送られてきたとしたら、それは以前に付き合っていたガールフレンドが、あなたのアカウントを開こうとしているサインかもしれません。