• 「totoBIGで不正バレか？　ありえない確率の事象が起きる」 http://gahalog.2chblog.jp/archives/52398785.html

不正ではなくバグだろう．不正ならバレないように，もっと巧妙にやるって．

楽天で(totoBIGを)買ったんだけど
5口

5口10口別々に買ったら、5口分は一致してました。
ランダムじゃねーのかよ！？

ネタじゃなければ，おそらくは疑似乱数周りのバグでは．

これくらい簡単なバグでも，同じ条件で繰り返し実行して出力結果をちゃんと読んでないと気づかない．一見しただけだとランダムな出力を返してるようにも見えるから．

まして出る数字の偏りとなるなるどと，きちんと検証しないと気付くわけがない．

たとえばユーザーIDとかメールアドレスとかログイン時刻みたいな「一人一人異なるけど，同じユーザーだと不変」な値を疑似乱数の種にしちゃうと，こういうバグは簡単に出る。しかも同じユーザーが連続して購入しないとなかなか発覚しない恐れも．

疑似乱数生成器 (PRNG) は、乱数に近い性質の数列を生成できる決定性アルゴリズムである。各数列は、PRNG の初期状態と状態を変化させるアルゴリズムによって決定される。大半の PRNG は初期状態 (シード状態 とも呼ばれる) を設定可能である。初期状態を設定することを「PRNG にシードを設定する」と表現する。

明示的にシードを設定しない、あるいは同じシード値を設定するなど、同一の初期状態で PRNG を呼び出している場合には、プログラムを実行し直しても同一の数列が生成される。シードを設定して PRNG 関数を10 回連続で呼び出し、10 個の乱数からなる数列 S = {r1, r2, r3, r4, r5, r6, r7, r8, r9, r10} が生成されたとする。この後、同一のシード値を設定して再度このコードを実行すると、まったく同じ数列 S が生成される。

したがって、一度 PRNG が実行されれば、攻撃者は次に生成される乱数列を予測することができる。PRNG に不適切なシード値を設定したり、そもそもシードを設定しなかったりすると、脆弱性につながる可能性がある。特にセキュリティプロトコルでは重大な問題になる。

解決策は、常に PRNG に適切なシード値を設定することである。PRNG に適切なシード値を設定することで、異なる乱数列が生成される。

すべての乱数生成器でシードを設定できるわけではない。ハードウェアで予測不可能な結果を生成する真の乱数生成器にはシードを設定する必要はないし、設定できるようなつくりにはなっていない。一部の UNIX システムで実装されている /dev/random デバイスなどのような高品質な PRNG もシードの設定はできない。このルールは、シードを設定することが可能なアルゴリズム的疑似乱数生成器にのみ適用されるものとする。

https://www.jpcert.or.jp/sc-rules/c-msc32-c.html

クライスラーのジープがハッキング可能な脆弱性も，ランダムに初期化すべき部分がランダムになってなかったせいだったな．

「Black Hat USA 2015：ジープのハッキングの全容が明らかに」

蓋を開けてみれば、Wi-Fiの乗っ取りはそれほど難しくありませんでした。Wi-Fiのパスワードが、自動車とマルチメディアシステム（ヘッドユニット）を初めて起動した時間を基に自動生成されていたからです。

理論上、日付と時刻を1秒の精度で表せば、無数の組み合わせができるため、安全性の高い方法です。ですが、ターゲットとなる車の製造年がわかり、製造月を推測できれば、組み合わせは1500万通りまで減らせます。製造時刻は日中であると仮定すれば、約700万通りにまで絞れます。ハッカーならこの程度の分量は簡単に処理することができ、片っ端から試しても1時間かそこらでパスワードを突き止められます。

クライスラー車のWi-Fiパスワードは、実際の時刻と日付が設定される前に生成されること、そして既定のシステム時間に、ヘッドユニットが起動するまでの何秒かを足した値をベースにしていることが判明しました。

今回のケースでは、グリニッジ標準時の2013年1月1日00:00、もっと厳密に言うと00:00:32でした。組み合わせの数はとても少なく、未熟なハッカーでも正しいパスワードを推測するのは簡単です。

https://blog.kaspersky.co.jp/blackhat-jeep-cherokee-hack-explained/8480/

さすがに使ったことはないが．

• 「インテルR DRNG (Digital Random Number Generator) ソフトウェア実装ガイド」 http://www.isus.jp/security/drng-guide/
  • https://software.intel.com/en-us/articles/intel-digital-random-number-generator-drng-software-implementation-guide/

コンピューティング・システムは本来決定論的 (デターミニスティック) であるため、これらの特性 (統計的に独立し、一様分布で、予測できない) を持つ品質の乱数を生成することは、一般に思われているよりもはるかに困難です。

システムクロックから秒の値をサンプリングする一般的なアプローチは十分ランダムに思えますが、プロセス・スケジューリングとその他のシステムの影響により、一部の値がほかの値よりも頻繁に出現することはよくあります。ユーザーのキーストロークやマウス移動の時間のような外部エントロピー・ソースを用いた場合も同様に、詳しく解析すると、すべての値が平等に分布することはまずありません。一部の値はほかの値よりも多く出現し、特定の値はほとんど出現しません。

すべての PRNG の重要な特徴は、PRNG は決定論的であることです。そのため、同じシードが指定されると、同じ PRNG は完全に同じ「ランダムな」数のシーケンスを常に生成します。これは、PRNG は特定の内部状態と十分に定義されたアルゴリズムに基づいて次の値を計算しているためです。その結果、生成される値のシーケンスがランダムな統計的特性 (独立、一様分布) を示していたとしても、PRNG のすべての動作を完全に予測することができます。

状況によっては、PRNG の決定論的性質は利点になります。例えば、シミュレーションや実験で、研究者が同じ入力データのシーケンスを使用して異なるアプローチの結果を比較したい場合、同じシード値の、同じ PRNG を使用して、繰り返し可能な、長いランダムデータ入力のシーケンスを生成することができます。

ただし、ほかの状況では、この決定論的性質は大きな欠点になります。

TrueRNG V3 - USB ハードウェア乱数発生器 Hardware Random Number Generator

• 出版社/メーカー: ubld.it
• メディア: エレクトロニクス
• この商品を含むブログ (1件) を見る

TrueRNGpro - USB ハードウェア乱数発生器 Hardware Random Number Generator

• 出版社/メーカー: ubld.it
• メディア:
• この商品を含むブログ (1件) を見る

• TrueRNGpro: http://ubld.it/products/truerngpro
• TrueRNG v3: http://ubld.it/truerng_v3

ニューメリカルレシピ・イン・シー 日本語版―C言語による数値計算のレシピ

• 作者: William H. Press,William T. Vetterling,Saul A. Teukolsky,Brian P. Flannery,丹慶勝市,佐藤俊郎,奥村晴彦,小林誠
• 出版社/メーカー: 技術評論社
• 発売日: 1993/06/01
• メディア: 単行本
• 購入: 2人 クリック: 102回
• この商品を含むブログ (33件) を見る