PCの性能向上が理由!? ZIPファイルで6ケタの英小文字パスワードは1秒で解読される
情報セキュリティメーカーのデジタルアーツ株式会社(以下、デジタルアーツ)は、PPAP(パスワード付きZIPでのファイル運用)などで使われるZIPファイルのパスワードに関する分析レポートを公開している。
「6ケタの英小文字パスワードなら1秒で解読」という結果が、Core i5(4コア8スレッド)の特にスペックが高いというわけではないパソコン(PC)でもたらされたことの意味は重い。
パスワード解読についてデジタルアーツのレポートから学び、自身のパスワード管理に活かしてもらいたい。
河野大臣と平井大臣の対話で話題となった「PPAP」。メールで添付ファイルを送信する際の日本特有の「添付ファイル暗号化」運用のことである。以前の記事(悪しき慣習「パスワード付きzipファイル(PPAP)」もこれで終わるのか?)も参考にしていただきたいが、このPPAP運用にはそもそもの問題もある。どんなに暗号化されたファイル(データ)とパスワードをメールで別送しても、サイバー犯罪者がその暗号化ファイルを入手している時点で、パスワードが記載されたメールを入手している可能性は非常に高いからだ。故に、PPAPはパスワードの複雑化だけでセキュリティが担保される仕組みではないことはご理解いただけると思う。
そしてそれに輪をかける形で、ZIPなどの暗号化ファイルのパスワード解読(クラック)が難しくないということが今回のデジタルアーツのレポートにて明らかになったと言える。
仮にパスワードが書かれたメールを盗聴されなかったとしても、パスワードでZIP化されたファイルは解読されてしまうということだ。
ZIPファイルのパスワード解読
「簡単なパスワードはあっという間に解読される」「単純で短いパスワードは危険」などと耳にしたことはあると思う。
しかしながら、一方で「パスワードクラッキングなど専門技術や知識、特殊な機器が必要なんじゃないか?」「自分が被害に遭う可能性などないのではないか?」と疑問を抱いたことはあるのではないだろうか。
半分は当たっているかもしれないが、半分は間違っていると言えるかもしれない。ある程度の専門知識は必要かもしれないが、ダークWebと呼ばれる領域では様々なものが取引され、その中には違法なものも数多くあるという。
しかしながら、暗号化ZIPファイルのパスワード解読はこんな怪しい世界を必要としていない。検索エンジンで「ZIP パスワード 解読 ツール」などのキーワードで調べればすぐに見つかる。それだけにパスワードを過信してはいけないのだ。
少し調べれば、以下のようなソフトで解読可能なことが分かるであろう。
- PassFab for ZIP
- Pika Zip
- Ziperello
- AccessData PRTK
- Lhaplus
使い方等の詳細の解説はここでは行わないが、これらのソフトを使う場合は正しい使い方をお願いしたい。
さて、本題に戻ろう。昨今のサイバー犯罪者は無線LAN通信の盗聴、ラテラルフィッシングなどによる内部情報流出、リバースブルートフォース攻撃によるアカウント攻撃など様々な手段で情報を盗んでいく。
特にZIPファイルのパスワードはログインシステムなどと違い、何度でもパスワード入力ができる為、サイバー犯罪者という肩書でなくても、ソフトさえあれば総当たりパスワード探索が実施可能である。そうなると解読は、PCのスペックに依存する。
表1:パスワード文字列と解読時間
今回、デジタルアーツが解読に用いたPCはCore i5(4コア8スレッド)、メモリ32GB、SSD 500GB、GeForce GTX 1070というスペックの市販PCである。メモリは豊富ではあるがCPUは抜群に速いわけではない。
このPCを用いて、ZIPファイルパスワードの総当たり解読を実施した結果、6桁の英小字、および8桁の数字のみのパスワードは1秒未満で解読されている。
ちなみに土下座で有名な某ドラマで『そのパスワードは危ない』というセリフで使われた「zansin」という文字列の解読は実に1秒未満であった。まさに”危ない”ことが証明されたと言えよう。
図1:ドラマで有名になった「zansin」の解読時間
英小文字で6ケタの組み合わせは約3.1億(26の6乗)通りあるのだが、今回のテストではパスワード探索する速度は約10億回/秒を記録している【図1】。今回はツールの関係上、秒より小さい単位での計測ができなかったとのことで厳密なことはわからないが、1秒以下であった事実だけでも、人が考えうるパスワードの解読は簡単であるということは分かる。
また、その他のパターンで「2021年06月01日20時45分」を「202106012045」のような数字に置き換えたパスワードも試している。このような数字の羅列のパスワードは日本人のパスワードランキング 2020のTOP50内にもランクインしており、多く用いられ、そして不正アクセスされていることになる。メール添付送信ファイルのパスワードということで、”今だけ”のテンポラリーな感覚で設定しているのかもしれないが、危険な行為であることを再認識する必要がある。
「202106012045」と12ケタと長めの桁数を設定したZIPファイルであっても、解読はわずか2分51秒であった。このような「日付や日時の数字をZIPファイルのパスワード」として社内でルール化している組織がないことを心より願うばかりだ。
【執筆:編集Gp ハラダケンジ】
本記事は、デジタルアーツ株式会社様のプレスリリースの内容を元に作成しております。
ソース:https://www.daj.jp/security_reports/210623_1/