パスワードの遺伝子
| 分野 | 情報セキュリティ / 認知科学 / 暗号心理学 |
|---|---|
| 提唱時期 | 1970年代後半(概念化) |
| 主張 | パスワードが“遺伝”し、組織文化を形作る |
| 関連領域 | パスワードポリシー、認証設計、パターン回避 |
| 議論点 | 生物学的比喩の妥当性、再現性 |
| 代表的手法 | 遺伝子型推定モデル(G-Type 推定) |
| 主な関与組織 | 総務省系委員会、国際暗号心理学会 |
(英: Password Gene)は、個人が作成する合言葉が「生成的に継承される」ことを説明するための概念である。情報セキュリティ分野において、記憶・癖・脳内連想の傾向が暗号設計にまで影響するものとして語られてきた[1]。
概要[編集]
は、人がパスワードを作る際に現れる“選び方のクセ”が世代(家族・組織・コミュニティ)を越えて再現される、という仮説に基づく概念として整理された。ここでいう遺伝子とは、生物学的なDNAではなく、符号化された連想パターン(たとえば「ペット名+西暦」など)を指すとされる。
この概念は、単なるパスワード強度論では説明しにくい「同じ会社ほど似たパスワードが増える」「研修後も“似た形式”は残る」といった現象を説明する枠組みとして受け入れられた。特にの業務系情報基盤で観測されたとされる“組織内遺伝子の偏り”が、言葉を一気に広げたとされる[2]。
歴史[編集]
起源:鍵管理マニュアルの「偶然」を数理化した1978年[編集]
1978年、(当時の名称で、のちに統合され管轄の一部となる)が、鍵のバックアップ運用で“同じ失敗”が繰り返されることに着目した。原因は担当者の記憶であり、手順書に「推奨例」が載るほど、推奨例に似た合言葉が増えていたと報告されたという。
報告書では、失敗パターンを「G1〜G12の型」に分類し、各型が職場の掲示板伝言や雑談から波及する様子を“遺伝”と呼んだ。具体的には、ある監査対象システムでパスワード再設定時の形式一致率が、初週は43.2%であったのに対し、3週後には54.9%まで上がったと記されている[3]。この数字は後に「盛っている」と批判されるが、当時の観測資料が残っているとされ、概念の物語性を支えた。
なお、初出の原文は「遺伝子は実体ではない」と脚注で釘を刺していた一方、講演会のスライドでは“DNAに似たもの”という比喩が強調された。この食い違いが、のちの学会対立を呼んだともされる。
発展:1985年の「箱入り合言葉」実験とG-Type推定[編集]
1985年、の研究施設で、ランダム生成器と人間の入力を交互にさせる「箱入り合言葉」実験が行われたとされる。参加者は“入力は自由”とされたが、実際には「提示された最小ヒント(例:季節名)」があるだけで、遺伝子型の偏りが再現された。
の前身ワークショップでは、遺伝子型推定モデル(G-Type 推定)が提案された。モデルは、文字列を(1)名詞成分(2)数字成分(3)区切り成分の3系統に分け、各系統の出現順序を確率的に推定するという、いかにもありそうな設計だった。報告では、推定精度が「誤差±1.7型以内」とされ、さらに“当たり型”が部署ごとに固定化する現象が示された[4]。
一方で、追試では精度が落ちたケースもあり、遺伝子が“学習された文化”に過ぎないのではないか、という疑義が残った。この揺れがを「真理」ではなく「比喩としての理論」に押し留めたとも評価されている。
社会への波及:2001年の大規模障害と「強いのに似る」問題[編集]
2001年、の行政関連データセンターで認証障害が発生したとされる。原因は暗号そのものではなく、再設定支援フォームに“例文”が残っていたことだったという。例文に似た形式が一斉に選ばれ、回復手順中にロックが連鎖した。
内部検証メモでは、再設定時の「形式カテゴリ」が上位3つだけで90%近くを占めたとされ、これが遺伝子的偏りを裏付ける材料とされた。さらに対策として「例文を消す」だけで、形式一致率が61.3%から38.6%へ低下したと報告された[5]。この数字は“遺伝子が薄れる”という比喩を強固にした。
ただし同時期に、例文を消すだけでは、入力者が別の場所から“暗黙のテンプレ”を学習してしまうことも判明した。結果として、対策はフォーム設計・教育・監査の一体運用へと拡張され、以後のセキュリティ運用の現場に“遺伝子”という言葉が定着していった。
概念[編集]
では、パスワードを単なる文字列ではなく「連想の設計図」とみなす。具体的には、(a)誰が作ったか、(b)どの環境で作ったか、(c)過去に見た例文や失敗談は何か、が組み合わさって“型”として現れるとされる。
このとき遺伝子型は、たとえば次のように記述されるとされる。名詞成分には人物名・ペット名・地名(など)といった記憶のアンカーが入りやすい。数字成分には、誕生日(西暦)・会社の創立年・部署コードが混ざり、区切り成分には「-」「_」「!」が固定されることが多い、という。なお、この固定性を定量化するために、研究者は「区切り癖スコア」を導入したとされる[6]。
さらに“遺伝子は環境で変異する”とも説明される。パスワード更新を求められると、同一型を保ったまま数値だけ変えるようになるため、攻撃者にとってはむしろ予測しやすくなる場合がある。このため、理論は防御側にとって都合がよいように作られたが、現場では「結局、教育しても似る」という嘆きとして受け止められたという。
手法と運用[編集]
運用面では、を使った監査が採用されたとされる。具体的には、ユーザーが入力したパスワードそのものを保存するのではなく、遺伝子型推定の結果だけを統計として保持する方針が提案された。こうすることで、個人を特定せずに組織の偏りを検出できるとされた。
例として、ある保険会社(内)では、部署別に“G-Type”の出現割合を月次で比較し、上位2型が全体の70%以上を占めた場合に、プロンプト文の見直しと研修スクリプトの変更を行ったとされる。実施後、再設定の問い合わせ件数が月あたり112件から79件へ減少したと報告されたが[7]、同時期にIVR(自動音声)も更新されており、因果関係は曖昧である。
この曖昧さを補うため、別のモデルとして「遺伝子温度(Gene Temperature)」が導入された。温度が低い部署ほど、同じ型が固定化していると解釈された。ただし、温度が低いと攻撃に弱いのか、防御がうまいのかは議論が割れた。ここで“弱いのに似る”が再び問題となり、心理と設計の両方への介入が求められるようになった。
批判と論争[編集]
は比喩として魅力的である一方、研究方法への批判も多かった。主な論点は、遺伝子型が実質的に「テンプレの残滓」であり、個人の自由意志を過度に卑小化しているのではないか、という点である。
また、ある追試では、推定に使った特徴量が「システムが強制した制約(文字数や禁止文字)」と強く結びついていた可能性が指摘された。たとえば、文字数上限が8文字であった場合、名詞成分が短縮され数字成分が相対的に目立つため、遺伝子型が“見かけ上”固定化する、という説明が提出された[8]。この論点は、当初の実験資料には十分に反映されなかったとされる。
さらに、最も有名な論争として「遺伝子は遅れて現れる」という主張がある。ある研究者は、更新直後は型がばらけるが、3回目の更新で突然“祖先型”が復活すると述べた。奇妙なことに、その祖先型が復活するまでの平均日数が12.7日とされており[9]、数字の正確さだけが独り歩きしたとも言われる。この主張は支持と反発の両方を生み、結果として学会内で“面白いが危険”な理論として扱われることになった。
脚注[編集]
関連項目[編集]
脚注
- ^ 林敬太『暗号心理学入門:なぜ人は似るのか』新潮技術出版, 2003.
- ^ Margaret A. Thornton『Cognitive Inheritance in Authentication Strings』Journal of Applied Cryptopsychology, Vol. 12, No. 3, pp. 41-68, 1999.
- ^ 鈴木啓介『合言葉の遺伝型解析』情報技術紀要, 第7巻第1号, pp. 12-29, 1989.
- ^ Haruto Nishimura『G-Type Estimation and Organizational Password Drift』Proceedings of the International Workshop on Security Cognition, pp. 88-102, 1996.
- ^ 逓信技術研究所『鍵管理実務における形式偏り調査 報告書(案)』逓信資料叢書, 第2集, pp. 1-73, 1979.
- ^ 田中真理子『フォーム例文と再設定挙動:月次統計による観測』日本セキュリティ教育学会誌, Vol. 5, No. 2, pp. 201-219, 2002.
- ^ Aiko Watanabe『Gene Temperature: A Heuristic for Password Homogeneity』Lecture Notes in Human Security Systems, Vol. 33, pp. 9-27, 2007.
- ^ R. K. Elson『Reproducibility Problems in Symbolic Password Models』Cryptography & Behavior Review, Vol. 18, Issue 4, pp. 301-333, 2005.
- ^ 「統合行政データセンター 認証障害検証」『大阪データセンター年報』第11号, pp. 55-79, 2001.
- ^ 佐藤由梨『パスワードは子孫になる:比喩理論の社会実装』丸善ライブラリ(初版は2010年)[参考文献表記の揺れ], 2010.
外部リンク
- 暗号心理学アーカイブ
- G-Type推定ツール配布(旧ミラー)
- ユーザー教育シナリオ集
- プロンプト文デザイン資料室
- 組織内パスワード統計サンプル