2級鍵師資格を取った

f:id:sylph01:20210121151503j:plain

以前の記事で匂わせていた「仕込んでたこと」その1です。この国では合法に物理セキュリティ学ぶ方法が限られてましてですね…

鍵/錠前の技術に関する情報源

資格取ったということよりもここが書きたかったともいう。

鍵や錠前の技術に関する日本語の情報源はとにかく少ないです。わざわざ受講しようと思ったのもそれが理由です。『ハッカーの学校 鍵開けの教科書』が日本語の本でそれなりに入手が容易なものとしては網羅性が高く、ぶっちゃけ2級鍵師の範囲ではオーバーキルな内容まで扱っているので手っ取り早く知識を得るのであればおすすめ。

ハッカーの学校 鍵開けの教科書

ハッカーの学校 鍵開けの教科書

  • 作者:IPUSIRON
  • 発売日: 2018/09/08
  • メディア: 単行本

この本のあとがきにも書いてあるように鍵や錠前の業界はデジタルセキュリティとは違って"Security by Obscurity"を地で行っている業界で、とにかく情報が明らかにされません。鍵屋ですら錠前メーカーから錠前をサービスするための情報が与えられないことがある*1のだから、一般人がそれを知ることは極めて難しくなっています。

一方で英語の情報はかなり潤沢に存在します。これは日本では開錠工具の所持が業務上正当な場合を除き違法であることに対して北米の大多数の州*2とヨーロッパの多くの国では開錠工具の所持自体は違法ではなく不正使用が違法とされているからで、南京錠や中古のドア錠を「知的チャレンジとして」開錠する"locksport"が行われていて、Black Hatなどのセキュリティカンファレンスで"lockpicking village"というピッキング体験コーナーが開かれていたりするようです。錠前メーカーの主要な商品に対する脆弱性の研究発表が行われ(例はDEFCON 16でのMedeco社の錠前の脆弱性の解説)、デジタルセキュリティと同じようにメーカーと協調して("responsible disclosure")脆弱性の改善を行ったりしているようです。

www.youtube.com

もともと物理セキュリティを実際に触ってみようと思ったのも英語圏ハッカーカンファレンスでのRed Team活動を行っている人の発表で興味を持ったためです。

www.youtube.com

www.youtube.com

もっとも、それらを見る限りアメリカの通常の施設のセキュリティレベルは日本と比べるとだいぶ落ちるんだなあ、という印象を持ちました。値段を抑えるためにkeyed-alike system(共通の鍵を複数の場所で利用できるようにする)が特定の建物に限らず利用されていて、あるエリア全体のポストとかエレベーターが全部全国的に共通な鍵で操作できるとかマンションの玄関のコントロールパネルがよく使われているkeyed-alike systemで操作できるとか信じられないような作りをしているようで…。以下の動画がわかりやすい。多分これをやってないだけで日本の施設のセキュリティはだいぶセキュリティのベースラインがだいぶ高いのでは?

www.youtube.com

基本的な開錠技術についてはYouTubeでBosnianbillとかLock Noobチュートリアルを見るのがよいです。知識を得るだけで実際にやらなければ日本でも合法なハズ。

www.youtube.com

www.youtube.com

エキスパートがいろんな錠前をあっさり開けていくのを見るならLockPickingLawyerのチャンネルがおすすめです。何でhigh-securityって言われてるやつがこんなあっさり開くのか意味がわからない。

www.youtube.com

実際の試験

筆記でかなり重箱の隅を突くこと聞いてきた問題もいくつかありましたが、自信を持って記入できた内容の6割くらいでも合格してたらしいので合格ラインはそんなに高くなかった印象です。もっともこれはペーパーテストを受け慣れている人の感想なので必ずしもすべての人に当てはまるものではないと思います。開錠実技は適切な道具を選べばなんとかなって、だいたいrakingで開く、残りもraking可能だけどsingle-pin pick*3してもそんなに時間はかかりませんでした。ぶっちゃけ講習時に触るsingle-pin pickの練習用のやつのほうがはるかに難しく、それができればちょっとrakingして開くやつはおもちゃ。

いちおう誤解がないように補足

ぶっちゃけ1週間の講習で開けられるようになる錠前なんてたかが知れてます。近年の日本の一般家庭の錠前の品質は非常に高く私見としては2000年以降に導入された錠前であればピッキングは有効な実時間では非常に困難です。訓練を受けて思うこととしては「盗ることが目的なら窓割って入ったほうがマシ」です。だいたい講習を受けて自信を持ってサービスできると言える範囲はロッカー錠とか引き出し錠くらいで、一般家庭やビルの侵入ができるようになるかというと全くそういうことはありません。ピッキング対策はある程度新しい錠前を導入していれば通常は大丈夫で、それ以外の侵入対策と組み合わせて身を守るのがよいでしょう。

一方で「特殊開錠用具の所持の禁止等に関する法律」が定められるに至った原因であるそれより前の錠前*4は適切な道具があれば割とあっさり開きます。あとアメリカの一般的なドア錠(Kwikset・Schlage)は通常のピンシリンダーなので訓練を受けた人ならそれなりに簡単に開けられるらしい。

So what?

免許の教習くらいのお金かけて実際に鍵屋しないのってどうなの、って話もあるんですが、しばらくはプログラマのほうが稼げるので、物理セキュリティもできるセキュリティエンジニアという路線を付加価値にすべくデジタルセキュリティの精進をしていくのがよいのかなーと思います。実際鍵師資格取ってるセキュリティエンジニアの知ってる人がいたからやることにした側面もありますし。あとは業界を干されたときの退路として…ゲフンゲフン

ちなみに国家資格ではなく民間資格であるというのも正直微妙なポイント。法律で鍵屋以外への開錠工具の販売を違法としててそれの取り締まりをやってるんだったら、鍵屋の定義を国家資格の有資格者っていうふうにすれば多くの面倒事を回避できるハズなんだけど…。法律関係のことは講習でも奥歯にものが挟まったような言い方をしていたので、やっぱり運用がイケてないんだろうなあ…。

*1:GOAL社のGRAND-Vというシリンダーに至っては「鍵屋にサービスを頼むことが不安なのでキーチェンジシステムを埋め込んだ」なんて言っているくらい!

*2:確かネバダオハイオがライセンスのない単純所持が違法になる、他にもいくつかあったハズ

*3:日本語の文献だと「バインドアンドフィール開錠」と呼ばれる

*4:具体的な明言は避けます。調べると出てくると思いますが、特定のメーカーの特定の型で、それまでは日本全国に圧倒的なシェアを誇っていて、今でもたまに使用されているのを見かけます。なおそのメーカーの新型はとても品質が高くピッキングが非常に困難