PPAPのパスワードは1秒未満で解読可能

簡単なパスワードは一般のパソコンでも解読可、ファイルのパスワード運用は限界

 情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード 2326)は、PPAP(パスワード付きZIPでのファイル運用)などで使われるZIPファイルのパスワードに関する分析レポートを公開したことを発表いたします。

 メールでZIP暗号化ファイルを送信し、後からパスワードをメールで別送する方法(PPAP)は、多くの日本企業・団体で採用されています。昨今さまざまなインシデントリスクが指摘されていますが、今回はパスワードのリスクについて分析します。パスワードは主に「PINコード」、「ログインパスワード」、「暗号キー」の3種類あります。スマートフォンのロック解除や銀行のキャッシュカードで使われる「PINコード」、ウェブサービスのログインに使われるIDとセットで入力する「ログインパスワード」です。このうち、「PINコード」と「ログインパスワード」は入力回数に制限がかけられるパスワードですが、ZIPファイルの暗号化などに使われる「暗号キー」はパスワード入力を何度でも試すことができるという特徴があります。

■パスワード入力を何度でも試すことができるZIPファイルのパスワードを解読する

 ZIPファイルのパスワードはどれくらいの時間で解読できるか、一般購入可能なパソコン、オープンソースで誰でも入手できるパスワード回復のソフトウェアを利用して試してみたところ、サンプルで設定した「zansin」という英語小文字6ケタのパスワードは1秒未満で解読することができました。

 ※参考資料は添付の関連資料を参照

 英小文字で6ケタの組み合わせは約3.1億(26の6乗)通りですが、本テストではパスワード探索する速度は約10億回/秒を記録しています。ほかにも数字のみ12ケタと若干多めのケタ数であってもわずか2分51秒で解読が可能でした。「日付や日時の数字をZIPファイルのパスワード」として設定・運用している組織が少なからずあるのではないでしょうか。

 ※以下は添付リリースを参照

リリース本文中の「関連資料」は、こちらのURLからご覧ください。

参考資料

https://release.nikkei.co.jp/attach/613044/01_202106231113.png

添付リリース

https://release.nikkei.co.jp/attach/613044/02_202106231113.pdf