自称完璧なマイナンバー保護技術『セキュリティフォント』 その3

自称完璧なマイナンバー保護技術『セキュリティフォント』 その1

自称完璧なマイナンバー保護技術『セキュリティフォント』 その2

その3は、セキュリティフォントについて紹介されている動画があまりにもひどかったので、そのハッキング方法について、実証するコーナーです

前回紹介した論文ではちゃんとした暗号化技術に一応なっていました。

ところが、紹介されている動画を見ると…。

文字にセキュリティをかけて内部漏洩まで防ぐ _ security font セキュリティフォント

セキュリティフォント(v1.5) - YouTube

ただの、シーザー(換字)暗号(rot13)です。
いわゆる、あまりにも単純すぎるので誰も使わない暗号技術です。

動画を参考に模倣ページを作ったので、3分ハッキングを紹介します。

1つ目の動画の致命的なのは、ハッシュ関数にバグがあるようで、変換先が重複してしまう文字が現れてる事です。

MD5 - Wikipedia
要するに2004 年に対衝突耐性の脆弱性があることがわかって廃止されたMD5と同じ脆弱性があるのです。
|。・ω・) 。o (すごい、2100年前の暗号化技術だと思ったら、12年前の脆弱性も組み込んで最新に近づけてるのですね!)

7(0x37) Ě (0x11A)
2(0x32) o (0xF8)
6(0x36) e (0xE8)
1(0x31) ę (0x119)
5(0x35) × (0xD7)
8(0x38) Ċ (0x10A)
9(0x39) U (0xDA)
7(衝突/0x37) ŗ  (0x157)
スペース(0x20) u (0x75)

sfc1
画面は Firefox です、右クリックして、範囲選択して、要素を調査するとWebフォントが使われていることが分かります。

sfc2
URLも表示されるので、これを直接ダウンロードします
(ちなみに、IEの場合、ダウンロードしなくても、表示したパソコンのキャッシュファイルとして残ります)

sfc3
保存したら、これを ttf に変換します

sfc4
変換完了

sfc5
メモ帖を起動してフォントをダウンロードしたやつに変えます

sfc6
表示できました。
コピペしたテキストと、Webフォント。セットに保存しておけばいくらでも復号できますね・ω・

まぁ、単純に数字だけなら、画面キャプチャすれば終わりなんですが、複雑な文章であっても、フォントファイルが簡単に入手できる場所にあるので、セットで保存すれば問題ないわけです。

手間だけかけた割には、単に、扱うのがめんどくさくしただけの技術で、セキュリティでもなんでもありません。
まぁ、ハッキングスキルの全くない一般人相手だったら「おー。スゲー!」と思わせることができるので、
マジックみたいなセキュリティ技術入れてるんだぜ!ってドヤ顔できるかもしれませんね。

経緯を推測すると…。

・まともだけど、ちょっとめんどくさい暗号化技術を考えさせて特許を取った。
・それを元に、A・Tコミュニケーションズ株式会社 と言う会社に作らせた。
・A・Tコミュニケーションズ株式会社 が依頼主をごまかして適当に作ったか、まともにセキュリティを考えられる技術者が居なかったため、換字暗号として実装した。
・動画でセキュリティフォントとして公開して(ただのシーザー暗号だったため)、大騒ぎになった。

おすすめ

2件のフィードバック

  1. 通りすがり より:

    マイナポータルサイトの危険についても取り上げてくださいよ。e-TAXと同じく最悪です。
    Googleで「マイナポータル」検索>サービストップ | マイナポータル>はじめて利用される方はこちら>パソコンの動作環境を設定する。
    ここのpdfに書かれている内容がひどい。
    IE推奨(?)、IEのみ動作可能(?)で
    ・ActiveXコントロールとプラグインの実行/有効
    ・Javaアプレットのスクリプト/有効
    ・アクティブスクリプト/有効
    ・スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行/有効
    とか。明らかにおかしい。

  2. 通りすがり より:

    マイナポータルサイトの危険についても取り上げてくださいよ。e-TAXと同じく最悪です。
    Googleで「マイナポータル」検索>サービストップ | マイナポータル>はじめて利用される方はこちら>パソコンの動作環境を設定する。
    ここのpdfに書かれている内容がひどい。
    IE推奨(?)、IEのみ動作可能(?)で
    ・ActiveXコントロールとプラグインの実行/有効
    ・Javaアプレットのスクリプト/有効
    ・アクティブスクリプト/有効
    ・スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行/有効
    とか。明らかにおかしい。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です