2021年06月23日
デジタルアーツ株式会社
PPAPのパスワードは1秒未満で解読可能
簡単なパスワードは一般のパソコンでも解読可、ファイルのパスワード運用は限界
情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、PPAP(パスワード付きZIPでのファイル運用)などで使われるZIPファイルのパスワードに関する分析レポートを公開したことを発表いたします。
メールでZIP暗号化ファイルを送信し、後からパスワードをメールで別送する方法(PPAP)は、多くの日本企業・団体に採用されています。昨今さまざまなインシデントリスクが指摘されていますが、今回はパスワードのリスクについて分析します。パスワードは主に「PINコード」、「ログインパスワード」、「暗号キー」の3種類あります。スマートフォンのロック解除や銀行のキャッシュカードで使われる「PINコード」、ウェブサービスのログインに使われるIDとセットで入力する「ログインパスワード」です。このうち、「PINコード」と「ログインパスワード」は入力回数に制限がかけられるパスワードですが、ZIPファイルの暗号化などに使われる「暗号キー」はパスワード入力を何度でも試すことができるという特徴があります。
パスワード入力を何度でも試すことができるZIPファイルのパスワードを解読する
ZIPファイルのパスワードはどれくらいの時間で解読できるか、一般購入可能なパソコン、オープンソースで誰でも入手できるパスワード回復のソフトウェアを利用して試してみたところ、サンプルで設定した「zansin」という英語小文字6ケタのパスワードは1秒未満で解読することができました。
英小文字で6ケタの組み合わせは約3.1億(26の6乗)通りですが、本テストではパスワード探索する速度は約10億回/秒を記録しています。ほかにも数字のみ12ケタと若干多めのケタ数であってもわずか2分51秒で解読が可能でした。「日付や日時の数字をZIPファイルのパスワード」として設定・運用している組織が少なからずあるのではないでしょうか。
本テスト結果の通り、簡単なZIPファイルのパスワードは一般のパソコンでも短時間で解読できました(※1)
(※1)解読マシンは一般購入可能なパソコンで実施。OS:Windows10 Pro, CPU:Core i5-10210U(4コア8スレッド), RAM:32GB, SSD:500GB, GPU:GTX1070 8GB RAM。「GPU」とは、主にグラフィックを処理する際に用いられるプロセッサーのことです。パスワード解読のような処理においては、GPUを使うことでCPUの何倍ものスピードで処理が可能になります。大抵のゲーミングパソコンと呼ばれるパソコンにはグラフィックボード(グラフィックカード)があり、GPUが組み込まれています。ZIPファイルの暗号化には、国内利用者が多いと思われるフリーの圧縮・解凍ソフトウェアLhaplusの標準設定を用いて、同一テキストファイルをパスワードだけ変えて作成し、解読用ソフトウェアは、オープンソースで誰でも入手可能なパスワード回復ツールを用いました。
(※2)各パスワードの「文字列組み合わせ」での総当たり方式で解読。ケタの少ない方から順に解読していき、かかった時間を合算して記載しています。一部は解読終了までの最長の見込み時間を記載。
(※3)「記号」には33種を想定。«space»!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
パスワードの運用には限界がある。PPAPの代替となるファイル送信方法の検討が必要
PPAPのインシデントリスクは、受信時と送信時の両方にあります。受信時のリスクは、ZIP暗号化ファイルを悪用したEmotetやIcedIDなどの攻撃が、アンチウイルスソフトなどをかいくぐり、マルウェア感染などの被害に遭ってしまう場合です。そして送信時のリスクは、誤送信や転送された場合にファイルが漏洩してしまう場合です。また、パスワード自体も単純な文字列に設定したり、使い回したりするなど運用によっては脆弱なパスワードになりやすくなってしまっている点も改めて理解しておいた方が良いでしょう。
こうしたことからデジタルアーツでは従来PPAPのインシデントリスクに警鐘を鳴らしてきました。PPAPに代わるファイル送信運用として、メールセキュリティ製品「m-FILTER」Ver.5と「FinalCode@Cloud」の「脱ZIP暗号化運用」をご提供しており、自治体様などにも中心にご利用いただいております。
▶ 「ZIP暗号化」運用(PPAP)は効果がないのか?EmotetやIcedIDなどの外部攻撃対策にはデジタルアーツの『脱ZIP暗号化』運用
▶「m-FILTER」と「FinalCode」の『脱ZIP暗号化』を北海道庁が採用
ZIPファイル解読の解析情報レポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート「有名ドラマで使われた『zansin』なパスワードも1秒解読 ZIPファイルのパスワード」
以上
- デジタルアーツについて
-
デジタルアーツはWebやメール、ファイルなどのセキュリティソフトウェアの提供を核に事業展開する情報セキュリティメーカーです。
1995年の創業以来、「より便利な、より快適な、より安全なインターネットライフに貢献していく」を企業理念とし、情報漏えい対策や標的型攻撃をはじめとするサイバー攻撃対策を実現する最先端の製品を、企業・官公庁・学校・家庭向けに提供しています。
https://www.daj.jp