1

おおよそインターネット、特にtwitterは便利なもので幼少期の自分が知りえなたかった情報が平気で流れてくる。

もし、過去にこのことを知っていたら困らなかったのにな、と思うことは多々ある。

もしかしたら今も困っている人がいるかも知れない人にむけて記事を書きインターネットに流すことにした。なるべく習慣にしたい。

2

自分自身でもこの1〜2年で気づいたことであまり認知できていなかったことだが、 どうやら自然言語を音声経由で解釈するのが苦手である。

特に話しかけられた時に最初のセンテンスから聞き取れることが稀なので、「えっ」と聞き返してしまう。

聞こえていそうな状況でも聞こえるわけではない。そのせいで、小さいときは「おまえ、聞こえとるやろぉ？！」とか言われて叩かれることもあった。

健康診断などである聴覚テストはパスできるので耳が悪いわけではない。むしろ高音はかなり聞こえる方で、街を歩けば猫避けの高音発声装置がかなりうざったい。

3

まぁそんなこんなでtwitterか何かで知ったのだが、聴覚情報処理障害というものがあるらしい

聴覚情報処理障害 - Wikipedia

詳細はwikipediaを見てもらった方がわかりやすいかもしれないが、もしこれを読んでいてよくわからないという"健常"な人に意識して欲しいことは

「あなたの声が聞こえているからといって言葉として聞こえているとは限らない」

ということだけである。

wikiにあるように原因は多々あるようで自分がどういう理由でこうなっているのかはわからない。

どちらかといえば会話の文脈がない状態で単語だけ聞き取った際にひどく聞き取れないことが多いので、発音から脳内の記号にする過程の認知能力が低い可能性がある。 ただ、会話の途中で全ての内容がわからなくなることもあるので、一概にそうとはいえない気もする。

4

過去に思いを馳せると小学校のとあるテストが思い出される。

ラジカセ（今となっては死語かもしれない）から流れる会話の内容を聞き取って、音声が終了したあとで渡される問題に回答するというテストがあった。

聞き取りテスト、という名だったかもしれない。

おおよそ小学校のテストは間違えることが少ないものだったが、そのテストに関しては２割ほどしか点が取れなかった。

当時は何故答えられないのか不思議だった。会話が流れてそのあとで聞かれる内容も難しいわけではないのに。

当時から、本当にただ不思議、という感情だった。

いまだにこういうテストをやっているかどうかわからないけど、まだやっているなら小学校の先生にお願いがある。

他の項目と比べて聞き取りテストの点に差がある子供がいたら、そういった障害の可能性を考えてほしい。

それだけで少しでも生きやすいようになるから。

adventar.org

1

この１１月に自分のゲームポートフォリオに変化があった

以下ゲームポートフォリオについて説明

ゲームポートフォリオとは、「限られた時間でどのゲームをやるのか」を如何にカッコ良く説明するために生まれた言葉である。

投資とかはマジで関係ないし、folioのテーマはもっと仕事して欲しい。

ちなみに、日々の生活ポートフォリオは「仕事・ゲーム・睡眠」の三要素で構成されており、"仕事"銘柄は一般的に所有しなくても問題ないと言われているが、将来に対するリスクヘッジとして存在している。

説明終わり

2

実はここ２年半ほどのゲームポートフォリオはOverWatchがほとんどで、夏頃fortniteの割合が増えていたがそれでも半数以上はOWだった。

ところがこの一ヶ月はCoD:BO4をずっとやっている。

実はCoDは前作のCoD:WW2もちょっとプレイしたのだが、その時はあまり面白さが感じられなかったのですぐ辞めてしまった。

https://amzn.to/2G1y2C6

CoDを知らない人に簡単に説明すると、「オンライン上で銃で人を撃つゲームである」。

実はこの説明は大嘘で「オンライン上で銃で人に撃たれるゲームである」、これが正しい。

いやいや、だいたい撃たれる数と撃つ数って同じになるでしょ？って思うかもしれないけど、年収の平均値より年収の中央値の方が低くなる世の中なのでそうはいかない。

めちゃくちゃ銃で人を撃ってくる人間がいて、その人たちがもう滅茶苦茶撃ってくるのである。そのせいで半分以上の人が銃で撃たれるゲームなのである。

じゃあ、なんでそんなゲームやってるんだって思うかもしれないが、そこがCoDのすごいところである。

普通撃たれるとそこそこ不快である。もしオフラインで銃で撃たれたら「ちょっと不快」ではすまなくて当たりどころによっては死ぬわけだが。

だけど、CoDはその銃で撃たれるゲームをずっと作っているので銃で撃つゲームと錯覚させてくれるのである、もう銃で撃たれるプロ、本社に向けて発砲しても大丈夫なんじゃないかな。

とはいえ、そのことを理解しないまま撃たれて発狂している人もいるけど「撃っていいのは撃たれる覚悟のある奴だけだ」というセリフをよく理解した上でゲームをしましょう。

3

CoDの場合、敵が見えてから自分が死ぬまでの時間がかなり短い。なので、敵が見え次第、すぐに狙って撃つ必要がある。

とはいえ、「人が見えたら狙って撃つ」という認識でゲームをするのは難しい。

そもそも、ある点をじっと見て差分を探すという行為はAHA体験の実験（ゆっくり変化する画像の中から差分を探す）などにあるように難しい行為なんじゃないかと思う。

人間の認知が離散的である（と仮定して）のに対して連続的な変化に気づきにくいのは当然に思える。

また、"狙って撃つ"という行為もフェードバック制御と同じで人間だと離散的になりやすい。

そういった点を踏まえてうまい人のプレイを見ていると以下のような動きをしている人が多い

ある点に敵がいるだろうと仮定した上でそこを狙いながら見ていなければ次の敵がいそうな場所を狙いながら見る、という行為を１秒間に２,３回している。

これはかなり合理的で、連続的な変化を見る必要がなくなる。

また上達する指標も明確で、敵がいそうな位置に対する読みの精度と狙うまでの時間,頻度が改善されれば良いだけである。

けど

それができれば苦労しねーんだよなぁ

adventar.org

1

そういえばOSをmojaveにあげるついでに、macをクリーンインストールした。 そしてこの前誕生日を迎え29歳になった。平成最後の冬、そして20代最後の冬。

定期的にmacをクリスコ（以下クリーンインストールの略）するとYosaがある。

クリスコすると再びログインすることになる、主にwebサービスにそして使っている、依存しているサービスを否応に意識される。

サービス間の依存が強いもの、重要なアカウント、デバイス。もしもこれがハックされたらどうヤバくて何をすればいいんだっけ？

みんな〜意識してる〜？

2

まず意識するべきものの区別、ハックされた時の未知数が大きいかどうか、これに尽きる。 そして、自分が保持しているものとそうでないもの、物理的かどうかといっても問題なさそうだけど、ここは難しい。

とりあえず挙げていく。

保持しているもの * iPhone * Mac * USBとかSSDとかのストレージ * yubikey

してないもの * iCloud * google account * microsoft account * github * keybase

各々色々なリスクや攻撃のされ方があるけど、一旦整理するために列挙しておく 特にデバイスがハックされた場合だいたいwebへの攻撃に繋がるので、先にデバイス。

まずiPhone、大変なデバイスですよこれは。

2 iPhone

リスク

• iPhoneにはSIMが刺さっているSIM内情報、電話番号及びSMSへのアクセス権限。
• 入っているアプリケーションへのアクセス権
  • btc wallet （pinが必要）
  • 1password (faceid もしくは1passwordのmaster password)
  • etc
• メールアカウントへのアクセス権
• Google Authenticator

考えられる攻撃経路

• ロックされていない状態でiPhoneを強奪される
• ロックされている状態でiPhoneを紛失もしくは強奪され
  • パスコードがソーシャルハックされるorされている
  • 自分自身が拘束されるもしくは意識がない状態でFaceIDを強制的に解除される

まとめ

列挙してみるとあまりにも高いリスク、幽遊白書のS級妖怪を思い起こされる。 モバイルデバイスではあるので紛失盗難リスクが割合としては多く考える必要がある。 メールアカウントへのアクセスがある時点で、多くの重要ではないアカウントへのアクセス権を得ることになる。 また、二段階認証にSMSを採用しているアプリケーションは多いので、 しかも攻撃経路もターゲット型の攻撃時はそこまで難しくないように思える。 紛失に対してはパスコードが日常で不便にならない程度に長ければ問題ないようにも思える。

以下は拘束されてた時にFacaIDを解除させられない顔にする訓練をしている図

2 Mac

Macはハックされるレベル感を分け他方がいい考えている。

• フルコントロールを奪われる場合

  • これはmac本体とpasswardを盗まれた
  • 悪意のあるアプリケーションによりルート権限で任意コードを実行された

• 部分的なアクセス権

  • ロックされていない状態でmac本体を盗難、passwordは無事
  • 悪意のあるアプリケーション（もしくは脆弱性）により任意コードを実行された
  • ロックし忘れて一瞬離席した際に何かしらされる

リスク

• keychain情報 (フルコントロール）
• localに保存された秘匿情報（これは定期的にクリスコするので少ないはず
• ブラウザでログインしているメールアカウントへのアクセス権

攻撃経路

盗難などはiPhoneと同じような方法が考えられるが、macのpasswordの方がpinよりソーシャルハックしにくいと考えている。 ただ、touch idに対しては精度の点で評価が迷う。正直macにもface idをつけて、touch id とface idの両方を揃っていないといけないようなオプションが欲しい。

また、macの場合の方が自由にアプリケーションが入れられてsandbox化されていないので、脆弱性などにより一部ファイルがreadされることは危惧した方がいいように感じる。

まとめ

ssh鍵は置いてないので危惧する必要はなし。 hiroqn.hatenablog.com

危惧しているのは、keychainアクセスやうっかり保存してしまったセキュリティトークン。 iPhoneの場合は紛失に気づきやすいが、macの場合気づかないうちに流出した場合が怖い（特にロックしないで離席したケースなど）。

2 ストレージ

これは普段使いのストレージの話ではなく、ある一定上のセキュリティ情報を保存するためのストレージである。 例えば2faが設定されたアプリケーションのバックアップコード（え、適切に保存してない人いませんよね？？）とかbitcoinのウォレットのバックアップとか。

自分はmacの暗号化されたディスクイメージの作成を使って、ストレージの中に暗号化した状態で保存している。

support.apple.com

これのパスワードは気合で覚える必要がある、もしくは何かに依存させても良いのかもしれない(1passwordなど)。 ただ依存させた場合、依存先のセキュリティ担保が結局必要になる。

まとめ

こちらは自分がパスワードをどこにも保存しない＆ストレージをローカルにもつという前提から、突破されないようにしている。 正確な言い方をすると "突破されない"ことを前提とした運用にしている。

2 yubikey

こちらは前回紹介した通り、普段使いのpgp鍵を入れておくデバイスとして使っている。 pinコードを数回間違えるとハードウェアレベルでブロックされるの盗難に対してはかなり有効と考えている。

ちょっとしたファイルならこれで暗号化するのがいいと思う。 ただ、pin自体は盗み見などでソーシャルハックできる可能性があるので、定期的にローテーションすることが必須と考えている。

3

パスワードを記憶する運用はパスワードが安易になるという危険性やローテーションがめんどくさいといった理由でなるべくはしたくない。 だが1passwordやどうしても記憶しなければいけない部分が出てくる。 記憶に頼った運用も自分の脳が単一障害点となるため、死亡時、記憶喪失時に復旧が困難になる。

これに対しては、死亡時などに許容するアカウントの切り分けができていないので現状は運用に載せていないのだがアイデアとしては持っていて、 vaultを使うという手法を考えている。

www.vaultproject.io

こちらはunseal keyというものを生成することができて、3つ生成したkeyのうち2以上が揃えば復号できるというような運用が可能になる。 なので、死後のアカウントを任せる人間に配るといったことによって対応することができる。 配る際は配る相手のpgp鍵で暗号化しておく必要があるのでそれを忘れてはいけない。

ただ、情報のアップデートが難しくアップデート込みの運用となると、本当にコアな情報を暗号化するためのpgp鍵を生成し、鍵をyubikeyに入れバックアップをvaultに入れるのがいいかもしれない。

ちなみにvaultを使わなくてもできるが、inerfaceや容易さとしてvaultを使う。

4

振り返ると、 iPhone紛失時など、流出時に適切にアプリケーションに対してセッションをログアウトしたりパスワードを変えたりする仕組みづくりが欠けている。

またiPhoneに二段階認証などが偏りすぎている可能性もある。また、SMSが安全ではないのでSMSの二段階認証は辞めていきたい。

とはいえ利便性は大事である。

トイレでうんこを垂れている間は鍵をかけていたいが、入る時に鍵を開けなければならないとしたら時には垂れながらドアを開ける事になりそうだ

今回web アプリケーション周りが書けなかったので。。。

続く