このページの本文へ

「暗号化ZIPのパスワードは別送します(PPAP)」は無意味、ZIP暗号化パスワードは1秒未満で解読可能

2021年06月23日 18時40分更新

文● ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 デジタルアーツは6月23日、PPAP(メールなどでパスワード付きZIP暗号化ファイルを送る手法)がセキュリティーの上で問題となっていることへの注意喚起として、ZIPファイルのパスワードは6桁程度ならば1秒未満で解読できると発表した。

 ZIPファイルのパスワードには入力制限がなく何度でも試行できることから、同社では一般的に購入可能なパソコンとオープンソースで入手できるパスワード回復のソフトウェアを利用してテストを実施。サンプルで設定した「zansin」という英語小文字6ケタのパスワードは1秒未満で解読できたという。また、12ケタと若干多めのケタ数であっても解読時間は2分51秒という短時間で解読。

使用したPCはCPUにインテルCore i5-10210Uを搭載した一般的なもので、パスワード解読はいわゆる総当り方式

 さらに、ZIP暗号化したフォルダではパスワードがなくても中身のファイル名やフォルダ名が見えてしまうことから内容がわかりやすいという指摘もしている。

 同社では従来からPPAPのインシデントリスクに警鐘を鳴らしており、PPAPに代わるファイル送信運用としてメールセキュリティー製品「m-FILTER」Ver.5と「FinalCode@Cloud」の「脱ZIP暗号化運用」などの利用を推奨している。

カテゴリートップへ

ピックアップ