ただのにっき

■ 関東大雪、そしてGoogle+が降雪アニメgifを作った

関東は昨夜からン十年ぶりともいわれる大雪で、朝起きたらすでに10cm以上積もっていて、さらに今夜にかけて降り積もる見込みとか。今日は月例の通院日だったので徒歩15分くらいの病院へえっちらおっちら出かけた*1。いつもは混み混みの病院もさすがに今日はガラガラで、見込みよりも1時間早く終わったのだった。大雪でも悪いことばかりじゃないね。

で、帰りに小田急線沿いの道路で記念に写真を撮って、PicasaからGoogle+にアップロードしたら、なんか勝手にアニメgifが追加されてて笑ってしまった。どうも雪の写真と判断すると自動で降雪風のレイヤーを重ねるらしい。なんという無駄機能(笑)。ちなみに現実はこんなに平和な風景ではなく、横なぐりの吹雪だったし。この地方にしてはさらさらの雪で、いったん屋根に積もった雪が風に舞い上げられていたくらい。

夕方には家の前で20cm以上(場所によっては30cm近く)積もっていたので、慌てて雪かき。昨シーズンに雪かきスコップを買ったのに出動のチャンスがなかったが、ようやく現場投入である。この時点でも雪はやんでなくて、きれいに雪かきし終えて後ろを振り返ると、すでに新しい雪が降り積もっているというありさま。雪国の人はこれが毎日だもんなー、大変だ。

■ 数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない

JALマイレージバンクの不正アクセスが発覚して数日、いろんな人の意見を読んでいるのだけど「数字6桁の暗証番号*1は今どきのPCなら総当りでもすぐに解けてしまうから脆弱だ」という意見がみられて、それはまぁそうなんだけど、今回のような事件に関しては適切な表現ではないと思う。

ちなみに、'000000'から'999999'までバカ正直に順番にMD5を計算し、結果を別途計算してあった正解と比較するプログラムを実行すると、手元の環境ではたった1.5秒しかかからない*2。それでもJMBの会員2700万人分を計算すると450日余りかかることになるが、これだって今どきならクラウドで100コア分調達すれば4日ちょいで解ける計算だ*3。

じゃあやっぱり総当りで解けちゃうから危ないじゃんと思うかも知れないが、この計算が成り立つには「別途計算してあった正解」が手元にあることが前提だ。つまりどういうことかというと暗証番号のハッシュを含めた会員データが漏洩しているということを意味する。これはもうとんでもない事件なわけで「暗証番号の変更を呼びかけ」なんてのんびりやってる場合じゃない、(JMB側で)漏洩ルートを閉じた上で即座に暗証番号を強制リセットすべき案件だ。類似の事件として最近ではAdobeの事件やYahoo! Japanの事件がある。いずれも漏洩が判明したのちすぐにパスワードを(サービス側で)リセットしている。これをやれば犯人の手元にあるデータは無効になるのでとりあえず安心できる*4。

JMBがこれらの事例にならって暗証番号をリセットしていないのは、今回の事案がデータの漏洩を伴っているわけではないと判断しているからだ*5。犯人の手元に暗証番号のハッシュがないということは、CPUにものを言わせて力技で解くのではなく、1件ごとにJMBのWebサーバに問い合わせて、その暗証番号が正しいかどうかを確認しなければならない。ローカルでは100万分の1秒で試せた行為が、この状況では1秒近くかかってしまう。先ほどの数値をすべて100万倍すれば、この攻撃が現実的でないのはすぐにわかるだろう。

じゃあ実際にはどんな攻撃が行われたの? という解説をしようと思っていたんだけど、先に徳丸さんが解説を書いてくれたので、ぜひとも読んでもらいたい。これね、もう本当にすばらしくわかりやすいです。

というわけで、少なくとも今回の事件に関しては「総当たり攻撃に弱いから」数字6桁の暗証番号が危険というわけではないとわかったと思う。徳丸さんの記事にも出てきたが、数字6桁だと同じ暗証番号を持つ会員が2700万人のうち数十人いると期待できる*6、つまりオンラインのリバースブルートフォース攻撃がとても効率的になってしまう点が問題なのだ。

さらに言えば、ユーザ側の工夫でこれを避けることができない点が問題だ。例えば英数字と記号を使った数十文字からなるパスワードを使えるようになっていれば、ユーザが十分に複雑なパスワードを使うことでリバースブルートフォース攻撃を簡単に無効にできる。数字6桁という制約の中ではこういう工夫がほとんどできない*7。サービス提供者はこのようにユーザが自身の工夫でリスクを回避する手段を奪わないよう、気を配って欲しいものですね。

こちらからは以上です。

■ 劇場版『THE IDOLM@STER MOVIE 輝きの向こう側へ! 』オリジナル・サウンドトラック(通常盤)(音楽:高田龍一)

せっかく発売前日に買っても、帰宅が遅いと翌日まで聴けないという。もったいない(なにが?)。

すぐに映画の場面が思い浮かぶ印象的なBGMもあれば、「これ、どこに使われてたんだっけ?」みたいな曲もあって、やっぱ何回も観ないとダメだなぁと思う(けどこれがなかなか)。すばらしく気合の入ったレビューを見つけたので(→BGMから見るアイドルマスター劇場版【ネタバレ注意】*1)、これを読みながらふんふんと聴いているところ。

ところで、劇中で使われた順番に並べ替えたいんだけど、そういう情報ってどっかにないかな。

劇場版『THE IDOLM@STER MOVIE 輝きの向こう側へ! 』オリジナル・サウンドトラック(通常盤)
音楽:高田龍一
日本コロムビア
￥1,580

例によって初回限定のBlu-ray付きバージョンもあるが、リッピングできないメディアは買ってもしょうがないので(ry:

劇場版『THE IDOLM@STER MOVIE 輝きの向こう側へ! 』オリジナル・サウンドトラック(初回限定盤 CD+Blu-ray Audio 2枚組)
音楽:高田龍一
日本コロムビア
￥2,201

ところでSSAのテーマ曲「IDOL POWER RAINBOW」がやはり今日から販売を開始してるけど、iTunes限定とかバカじゃねーのとしか言いようがない。おれみたいに宗教上の理由なのはまだしも、PCを持ってないAndroidユーザとか、どうしろっつーの? まだ特定コンビニチェーン限定とかの方がましだろ。