PCの性能向上が理由!? ZIPファイルで6ケタの英小文字パスワードは1秒で解読される

情報セキュリティメーカーのデジタルアーツ株式会社(以下、デジタルアーツ)は、PPAP(パスワード付きZIPでのファイル運用)などで使われるZIPファイルのパスワードに関する分析レポートを公開している。
「6ケタの英小文字パスワードなら1秒で解読」という結果が、Core i5(4コア8スレッド)の特にスペックが高いというわけではないパソコン(PC)でもたらされたことの意味は重い。

パスワード解読についてデジタルアーツのレポートから学び、自身のパスワード管理に活かしてもらいたい。

河野大臣と平井大臣の対話で話題となった「PPAP」。メールで添付ファイルを送信する際の日本特有の「添付ファイル暗号化」運用のことである。以前の記事(悪しき慣習「パスワード付きzipファイル(PPAP)」もこれで終わるのか?)も参考にしていただきたいが、このPPAP運用にはそもそもの問題もある。どんなに暗号化されたファイル(データ)とパスワードをメールで別送しても、サイバー犯罪者がその暗号化ファイルを入手している時点で、パスワードが記載されたメールを入手している可能性は非常に高いからだ。故に、PPAPはパスワードの複雑化だけでセキュリティが担保される仕組みではないことはご理解いただけると思う。

そしてそれに輪をかける形で、ZIPなどの暗号化ファイルのパスワード解読(クラック)が難しくないということが今回のデジタルアーツのレポートにて明らかになったと言える。
仮にパスワードが書かれたメールを盗聴されなかったとしても、パスワードでZIP化されたファイルは解読されてしまうということだ。

 

ZIPファイルのパスワード解読

「簡単なパスワードはあっという間に解読される」「単純で短いパスワードは危険」などと耳にしたことはあると思う。
しかしながら、一方で「パスワードクラッキングなど専門技術や知識、特殊な機器が必要なんじゃないか?」「自分が被害に遭う可能性などないのではないか?」と疑問を抱いたことはあるのではないだろうか。
半分は当たっているかもしれないが、半分は間違っていると言えるかもしれない。ある程度の専門知識は必要かもしれないが、ダークWebと呼ばれる領域では様々なものが取引され、その中には違法なものも数多くあるという。
しかしながら、暗号化ZIPファイルのパスワード解読はこんな怪しい世界を必要としていない。検索エンジンで「ZIP パスワード 解読 ツール」などのキーワードで調べればすぐに見つかる。それだけにパスワードを過信してはいけないのだ。

少し調べれば、以下のようなソフトで解読可能なことが分かるであろう。

  • PassFab for ZIP
  • Pika Zip
  • Ziperello
  • AccessData PRTK
  • Lhaplus

使い方等の詳細の解説はここでは行わないが、これらのソフトを使う場合は正しい使い方をお願いしたい。

さて、本題に戻ろう。昨今のサイバー犯罪者は無線LAN通信の盗聴、ラテラルフィッシングなどによる内部情報流出、リバースブルートフォース攻撃によるアカウント攻撃など様々な手段で情報を盗んでいく。
特にZIPファイルのパスワードはログインシステムなどと違い、何度でもパスワード入力ができる為、サイバー犯罪者という肩書でなくても、ソフトさえあれば総当たりパスワード探索が実施可能である。そうなると解読は、PCのスペックに依存する。

表1:パスワード文字列と解読時間

今回、デジタルアーツが解読に用いたPCはCore i5(4コア8スレッド)、メモリ32GB、SSD 500GB、GeForce GTX 1070というスペックの市販PCである。メモリは豊富ではあるがCPUは抜群に速いわけではない。
このPCを用いて、ZIPファイルパスワードの総当たり解読を実施した結果、6桁の英小字、および8桁の数字のみのパスワードは1秒未満で解読されている。

ちなみに土下座で有名な某ドラマで『そのパスワードは危ない』というセリフで使われた「zansin」という文字列の解読は実に1秒未満であった。まさに”危ない”ことが証明されたと言えよう。

図1:ドラマで有名になった「zansin」の解読時間

英小文字で6ケタの組み合わせは約3.1億(26の6乗)通りあるのだが、今回のテストではパスワード探索する速度は約10億回/秒を記録している【図1】。今回はツールの関係上、秒より小さい単位での計測ができなかったとのことで厳密なことはわからないが、1秒以下であった事実だけでも、人が考えうるパスワードの解読は簡単であるということは分かる。

また、その他のパターンで「2021年06月01日20時45分」を「202106012045」のような数字に置き換えたパスワードも試している。このような数字の羅列のパスワードは日本人のパスワードランキング 2020のTOP50内にもランクインしており、多く用いられ、そして不正アクセスされていることになる。メール添付送信ファイルのパスワードということで、”今だけ”のテンポラリーな感覚で設定しているのかもしれないが、危険な行為であることを再認識する必要がある。

「202106012045」と12ケタと長めの桁数を設定したZIPファイルであっても、解読はわずか2分51秒であった。このような「日付や日時の数字をZIPファイルのパスワード」として社内でルール化している組織がないことを心より願うばかりだ。

 

【執筆:編集Gp ハラダケンジ】


本記事は、デジタルアーツ株式会社様のプレスリリースの内容を元に作成しております。
ソース:https://www.daj.jp/security_reports/210623_1/

関連記事

ピックアップ記事

  1. テレワークやDX(デジタルトランスフォーメーション)、コロナ禍も後押しし、企業の働き方は大きく変わり…
  2. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  3. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  1. PCNW:専門家に聞くインシデント発生現場の課題と対策【ITトレンド勉強会#2】1/28(金)開催

  2. シリーズ【SSL可視化とセキュリティ】4)リモートワークが推進される中での暗号化通信の脅威対策

  3. 松田軽太の「ボッチ情シスノススメ」#23:業務改善の実施は計画的に!

  4. 業務サービス辞典:クラウド型B2B請求代行サービス「SEIKYU+」

  5. 情シスアカデミア#01:ASP/SaaS/クラウド事始め「コンピュータの基礎」

  6. DXを実現するためのあるべきITシステム「スサノオ・フレームワーク」とは-IPA

  7. 使える! 情シス三段用語辞典126「HTTP/3」

  8. 【DX白書2021】日米企業におけるDX動向を解説-IPA

  9. いまさら聞けない【情シス知識】Windowsサンドボックス:君子危うきに近寄らず!?

  10. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る