サマーウォーズ「OZ」のセキュリティ

冒頭は視聴者への解説も兼ねて(?)、OZの説明から始まります。

まずは携帯電話でログインするシーンがあるのですが、「ゆかりん」さんのパスワードがたった3文字です。よくOZと比較されるFacebookは6文字以上という制限があり、また "123456" や "password" など危険なパスワードでの登録が制限されているのですが、OZにはそのような機能は導入されていないようですね。

続いて物理部の部室で主人公の健二と友人の敬がOZの保守点検をしているシーン、アドレスバーに表示されている管理棟のURLが http://www.OZ.net/~Management/revel3 となっています。

あくまで末端の末端の末端なバイトということで、重要な情報を扱う業務ではないのかもしれませんが、暗号化しなくて大丈夫なのか余計な心配をしてしまいました。

健二が携帯で受信したメールの暗号を解いた翌朝、OZのシステムが改変され、多くの利用者がログインできない事態になってしまいます。

TVニュースでそれを知った健二はすぐに携帯でログインを試みるのですが、ログインフォームの入力欄はなぜかパスワードだけでなくユーザー名（ニックネーム）もマスクされています。要するに <input type="password"/> で実装されているのでしょうが、なぜ隠す必要があるのかよく分かりませんでした。先に記した冒頭のシーンではマスクされていないのですが。

また、マスクされているニックネームは8文字（以上?）ですが、健二のニックネームは「Kenji」のはずで[1]、文字数が一致しません。謎です。

ちなみに漫画版 だと自宅のマシンでログインするシーンがあるのですが、こちらはマスクされていないうえ、ニックネームではなくIDでのログインです。そのID、ローマ字の大文字小文字と数字の混ざったランダムと思える文字列です。やはり謎すぎます。

引き続き携帯でのログインシーン、1回目の認証失敗時に「あと2回 再試行 できます」というメッセージが表示されます。アカウントロックが実装されているのですね。

そして2回目の認証失敗後すぐに佳主馬（カズマ）のところへ行き、ノートPCを借りて認証→エラーを2回繰り返します。本来であれば携帯で2回失敗しているのですから、再試行回数はあと1回のはずなのですが、IPアドレスや端末が異なる場合は別にカウントされるのでしょうか。

敬からの電話でこんな会話があります。

暗号については門外漢なので、とくに考察はせず興味深いブログ記事へのリンクに留めておきますが、いずれにしても数学オリンピックの代表程度の能力があればコンピューターを使わずに解析可能ということは、世界一安全どころか暗号化としてはまったく頼りない感じですね。

• サマーウォーズ：曜日の求め方とか2056桁の暗号とかの解説(d.hatena.ne.jp)

• 本文だけでなく、コメントにも2048桁でなく2056桁なことについてさまざまな考察があって面白いです。

OZ混乱の実行犯と間違われ、警察官の翔太に身柄確保されたものの、連行途中で渋滞に巻き込まれ、なんやかんやで陣内家に戻った健二。再び敬との会話です。

これ、ちょっと違和感を覚えました。裏目に出たのはさまざまなシステムがOZと紐づいていることであり、高いセキュリティ能力は関係ないと思うのですけど。

• 冷静に考えると、セキュリティ能力が低ければここまで世界中で利用されることもなかったから…、という意味なのかもしれませんが、この会話からそこまで連想するのは難しいと思います。

これは割と話題になっていることですが、キングカズマがラブマシーンに果たし状を出して再戦するシーン、アドレスバーに表示されたURLは http://www.coins.tsukuba.ac.jp/~syspro/139-459 となっています。

これ、筑波大学の情報科学類のドメインですね。

• サマーウォーズのカズマ戦のアドレスが筑波大学の情報な件(twitpic.com)

夏希が花札で最終決戦に挑むシーンでもアドレスバーが写りますが、今度は http://www.OZ.net/~area/363-556 となっていますね。あれれ?