そろそろYubikeyについて語ろう!

僕が2023年に大がかりな悪玉ハッカーにやられて、大変な10ヶ月を過ごしたことは、前回の記事

65歳、ホワイトハッカーをめざす

に詳しく書いてありますので、まだお読みでない方、読んだけど忘れた方はまずそちらをお読みください。で、それを前提に今日の記事をお読みいただければ、と思います。

今回の記事のトップ画像は、今僕が使っているキーホルダーです。「戸越銀座」のキーフォルダーは、ピンク色でなんとなく可愛いので付けているだけで、何の意味もありません。新しい我が家は都営浅草線の戸越駅か、東急大井町線の戸越公園駅の方が近くて便利なのですが、ネーミングに惹かれてついアクセサリーを買ってしまいました。

いわゆる昔からある金属製の差し込むタイプの鍵は二つだけ。我が家はダブルロックなので二つありますが、ほとんど使うことはありません。SwitchBot社ののオートロックになっているので、指紋認証でワンタッチで解錠できます。家を出るときは2秒後に自動施錠されるので、鍵の出番はありません。バックアップ用に暗証番号もありますが、使ったことはありません。

あとはキーホルダーをどこに置いたか忘れてしまった時のために、AppleのAirTagを付けてあります。iPhoneやMacで「探す」アプリを使えば、GPSで正確な位置を教えてくれます。これもまだ使っていません。でもこれもボケてきたら必要になるでしょう。AirTagは2代目ですが、注意点としてはバッテリーの交換ができないと言うことです。

一代目のときにバッテリーが無くなってきたので、CR2032というリチウムバッテリーと交換しようとしたら、どんな工具を使っても作業ができない構造になっていて、やむをえず新しいのAirTagに買い替えました。まあApple社としては、4000円そこそこの物だし、お買い換えいただくしか、、、という所なんでしょう。

さて残るは二つ。KIOXIA（旧東芝）のおなじみUSBメモリーです。これは自宅にプリンターやスキャナーを持たない僕としては、ちょっとした書類のプリントアウト、スキャニングにローソンを使うので、そういった情報の持ち運びに欠かせません。一番重宝したのは、フィルム時代の昔の紙焼きの写真をスキャニングして、JPEGデータとして持ち帰ることです。先月書いた

80年代タイ飛球の旅（シリーズ６日）もフィルム時代の写真で構成しています。

6本も40年前のフィルム写真をスキャニングして書いた記事です。何かとデジタル時代に欠かせないUSBメモリーですが、64GBもあればほとんどいっぱいになることはありません。以前僕が持ち歩いていた、前世紀の遺物みたいな鍵束をお見せしておきましょう。

いよいよ残るは黒い筐体に「y」のロゴが入った、なんの変哲もないUSBデバイスです。これが僕の情報セキュリティーを担保してくれ、夜も寝ずに悪玉ハッカーとパスワードの書き換え合戦を続けていた僕を救ってくれた、まさに命の恩人です。

一般には物理セキュリティキー、とも呼ばれます。当時はApple社は正式に認証していませんでしたが、米国のApple社に電話で問い合わせたところ「例えばYubikeyとか、使える場合もあります」という一言を引き出したのでした。

さっそくスウェーデンにある本社から50ドルほどのブツを3つ取り寄せました。さらに大阪にいるスタッフにも2つ送り、Windows環境での検証もしてもらいました。なぜ2つとか3つなのか、というとこのYubikeyというのは、どんなパスワード攻撃にも晒されない半面、ブツを無くしたら自分でもログインできなくなります。だから普段使い用の1個と、予備の1個を最低でも自宅と職場、あるいはキーホルダーと金庫の中、と複数必要なのです。

これは今では一般的になっている2FA、MFAと呼ばれる多要素認証の要なのです。

• パスワード認証（知的情報認証）
• 生体認証
• 所有認証

このうち、パスワード認証は全く何の役目も果たしません。特に数字4桁とか（銀行の暗証番号など）数字8桁などは意味がありません、AIが総当たりで0.5秒で発見されてしまいます。マイナンバーカードの16桁英数も、覚えるのに苦労された方もいらっしゃるかと思いますが、これも一時しのぎにすぎません。

少しでも複雑なパスワードにしたければ、数字は1つくらいにして、あとの15桁をランダムな英字にすることです。数字なら10通り、英字なら26通りあるからです。なんとマイナンバーカーの署名用16桁は、英字を大小区別しません。全部大文字です。せめて英大文字小文字を区別すれば、52通りに増えるのでマシなのですが。

どちらにしてもAIにとっては時間稼ぎに過ぎません。そもそも高齢者の方などが16桁も覚えられるものでしょうか。うちの母親は4桁覚えるのに四苦八苦していました。人間が暗記できる数字の暗証番号は4桁か、せいぜい8桁が限度だと僕は思っています。

日本のセキュリティー行政は、これで大丈夫なのでしょうか？

さて生体認証は比較的安全とされていて、iPhoneの顔認証や、指紋認証でログインされている方も多いかと思います。ただこの規格については、各社とも仕様については非公開であり、AIによってまもなく破られると言われています。

携帯電話番号を登録しておき、SMSで送られてくる6桁程度の番号を10秒内に入力する、という2FAが、今のところ主流ですが、これもなかなか面倒なわりに、携帯を盗聴されたらおしまいという欠点を持っています。僕が去年悪玉ハッカーにやられたときは、携帯番号も盗聴されていました。

そこから僕を救い出してくれたのがYubikey。所有認証（いわゆる物理キーです）。これは極めて盤石であり、その指キーを所有していなければログインできない、というしろものです。ぼくはこのYubikeyを日本に広めるビジネスを展開してまいります。

一時期はGoogle、Microsoft、Amazonなども正規認証キーとして公認していましたが、Apple社だけはなぜか公認を避けていました。（といっても十分使えるのですが）そして今年の7月7日、ついにApple社も公認し、設定アプリをApp Storeで売り出したのです。

アメリカ軍、各州政府、などなど早くからYubikeyを認証デバイスとして取り入れてきました。僕はこれをYubico社と提携して、日本の正規代理店になろうと交渉中です。ビジネス用のサイト制作が遅れていて、まだ皆さんにご利用頂ける状態ではないので、個人用のサイトでとりあえず紹介させて頂いている次第です。

###