半年ほど前、PPAP(Zipにパスワードをかけて、メールに添付。パスワードも別メールで連絡する手法)をやめよう、と話題になりました。
※PPAPについては過去のメルマガでも書いておりますので、そちらをご参考ください。
PPAP。ピコ太郎。 、、、ではなく、本メルマガで取り扱うのは、もちろんセキュリティ話のPPAPのことです。 2020年11月に、平井卓也デジタル改革担当大臣が、内閣府、内閣官房で「PPAP」を廃止する方針を発表したことからも、一気[…]
PPAPではZipにパスワードをかけているのですが、今回は「Zipのパスワードって意味あるの?」ということについてです。
(本質的に、このお話はPPAPとは関係ないです)
zipパスワードの問題点
Zipファイルは、パスワードをかけることができます。
しかし、そもそもの仕組みとして問題があります。
それは「何度でもパスワード入力を試すことができてしまう点」です。
つまり、総当たりで入力していけば、いつかは当たるわけです。
このいつか・・・を調査した記事があります。
PPAPのパスワードは1秒未満で解読可能 簡単なパスワードは一般のパソコンでも解読可、ファイルのパスワード運用は限界…
一部、抜粋します。
〜引用ここから〜
- 解読マシンは一般購入可能なパソコンで実施
- 英小文字6桁だと、1秒未満 で解読終了
- 英小文字+英大文字+数字+記号 8桁だと 55日13時間(最長) で解読完了
- 数字12桁だと、2分51秒 で解読完了
〜引用ここまで〜
上記で「最長」と書いているのは、総当たりの最後で「当たり」となるケースです。
一般的には、それよりも前に「当たり」をひくことになると考えられます。
55日、が長いのか短いのか、という感じもするかもしれません。
しかし、そもそもZipファイルはコピーできますよね。
つまり、複数台のマシンで解読を試せるわけです。
手元にマシンがなくとも、クラウドで56台マシンを用意して処理すれば・・・1日になりますよね。
上記記事自体が「一般購入可能なパソコン」なので、クラウドであれば単体の処理性能がよいものも選択できるでしょう。
他にも・・・
Excel VBAのコードにもパスワードがかけられますが、これも総当たり可能ですね。
(しかも、VBAを使って総当たりできるといお話・・・)
PDFのパスワードも総当たり可能ですね。
どうすれば?
とはいえ、Zip、VBA、PDFなど、素のままで渡すのは避けたい・・・ということもあるでしょう。
悪意をもった人間ばかりでもないでしょうし、抑止効果はあるでしょう。
(あ、パスワードかかっているか、諦めるか・・・となるのが普通かと思います。)
本質的には「いつかは破られるもの」ですが、それでも、パスワードには以下の工夫はしておきましょう。
- 記号、文字、数字などを組み合わせる
- できるだけ桁数を増やす
- 推測しやすいフレーズを使わない
※これは、総当たりする際に「範囲を狭める」工夫を逆手に取った方法です。
最後に、蛇足ではありますが・・・
Zipファイルは、パスワードを解除しなくとも「フォルダ名」や「ファイル名」は確認できます。
ファイルそのものの中身は見えなくとも、十分な情報漏洩となりえることもありますので、ご注意ください。
メルマガ登録
『メルマガ Professional's eye』
週1回、3分で楽しめます。
詳細はこちら >>>
広告を含むご案内のメールをお送りする場合があります。
