ニュース
6桁の英字パスワードなら家庭用PCでも1秒で解読。PPAPに警鐘
2021年6月23日 12:25
情報セキュリティメーカーのデジタルアーツ株式会社は23日、ZIPファイルのパスワードに関する分析レポートを公開。Core i5を搭載した一般家庭向けPCでも、6桁の英字パスワードなら1秒で解読できることから、多くの企業・団体で用いられている、機密情報をパスワード付きZIPファイルで運用する「PPAP」(Password付きZIPファイルを送ります、Passwordを送ります、Angoka Protocol)手法に警鐘を鳴らしている。
ZIPファイルにかけたパスワードは、多くのログインパスワードと違い、何度でも入力試行できる。そのため、PCを使って総当たりで解読できる。今回、デジタルアーツでは、5年前に購入したCore i5、メモリ32GB、SSD 500GB、GeForce GTX 1070というスペックの市販PCを用いて、ZIPファイルパスワードの総当たり解読を行なったところ、6桁の英字、および8桁の数字のみのパスワードは1秒未満で解読できた。
| パスワード文字列 | ケタ数 | 文字列組み合わせ | 解読時間 |
|---|---|---|---|
| zansin | 6ケタ | 英小文字 | 1秒未満 |
| zansinzz | 8ケタ | 英小文字 | 20秒 |
| zansin01 | 8ケタ | 英小文字+数字 | 2分13秒 |
| Zansin01 | 8ケタ | 英小文字+英大文字+数字 | 2日6時間(注:最長見込み) |
| Zans!n01 | 8ケタ | 英小文字+英大文字+数字+記号 | 55日13時間(注:最長見込み) |
| 20210601 | 8ケタ | 数字 | 1秒未満 |
| 202106012045 | 12ケタ | 数字 | 2分51秒 |
英字6桁の組み合わせは約3億通りあるが、今回同社が用いた解読ツールとPCの組み合わせでは、パスワード探索する速度が約10億回/秒に達しており、8桁の英小文字+数字の組み合わせでも2分13秒という現実的な時間で解読できた。
そもそもPPAP手法には、ZIPファイルとパスワードをメールで別に送受信するなどの手間があったり、そもそも攻撃者がZIPファイルを入手できるなら、パスワードが記されたメールも入手される可能性が高いといった批判も多いが、各種ログインパスワードなども含め、短い英字だけのような安直なものは避けるよう日頃から心がけたい。