NTTコミュニケーションズ

Bizコンパス

暗号化ZIPをメールで添付する方式の何が問題か?
2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

著者 北河 拓士

暗号化ZIPの強度の問題や脆弱性

 ファイルを暗号化することにより、「情報漏えい対策」や「誤送信対策」になるのは暗号が十分な強度を持つ場合のみです。暗号が短時間で解析されてしまうのでは対策の意味をなしません。

 しかし、暗号化ZIPには暗号の強度が十分でないという問題や、条件により暗号の解読が可能になる脆弱性が存在します。

暗号化ZIPの2つの方式

 ZIPの暗号方式としては、ZipCryptoとAES-256の2つの方式があります。(他にもTripleDESなどもあるのですがほとんど使われていません。)しかし、組織間のやりとりで使われるのはZipCryptoがほとんどです。ZipCryptoはWindows標準の機能で復号することができますが、AES-256はWindows標準では復号できないため、サードパーティの圧縮・展開ソフトが必要になります。組織によっては勝手にソフトをインストールできないように制限されている場合もあり、受信側が確実に復号できるとは限りません。

図1 圧縮・展開ソフトがサポートする暗号化ZIPの形式

 また、日本で使用率の高い圧縮・展開ソフトのLhaplusでは、ZipCryptoでの暗号化 のみに対応しており、AES-256での暗号化はできません。(AES-256で暗号化されたファイルの復号は可能)AES-256での暗号化に対応した製品でも多くはZipCryptoがデフォルトとなっており、設定等で暗号方式を指定しなければAES-256になりません。このような理由から現在でもZipCryptoが主流となっています。

暗号化ZIPの強度の問題

 ZipCryptoは1993年に仕様策定された古い形式で、現在では暗号強度が十分とは言えなくなっています。

図2 暗号形式毎のパスワード解析速度の比較

 図2は、ZIP(ZipCrypto)、ZIP(AES-256)、PDF PDF(PDF 1.7 Level 8)、Office 2010、Office 2013のそれぞれの暗号化フォーマットについて、AWSのGPUインスタンスp3.2xlarge(NVIDIA Tesla V100 GPU 1個)上でGPUでの解析に対応したパスワード解析ソフトhashcatを動作させて、1秒間に何件のパスワードを解析できるかを比較したものです。解析できる件数が多いほど高速に解析できる。つまり、それだけ弱い暗号形式と言うことができます。この結果を見ると、ZIP(ZipCrypto)はOffice 2013の暗号方式より約16万倍高速に解析できることがわかります。

図3 暗号形式毎の総当り攻撃の所要時間

 図3は、図2での解析件数より、パスワードの文字種と桁数ごとの総当り攻撃の所要時間を算出したものです。所要時間は、総当り全件が完了するまでの時間です。使用しているパスワードを解析するのに必ずこれだけの時間が掛る訳ではないことに注意して下さい。総当たりの初期の段階でパスワードが判明してしまう可能性もあります。また、図2の検証で利用したGPUインスタンスの利用料金は1時間当り約3ドル程度ですが、より費用を掛けて高速なGPUを複数並列に使用した場合はこれ以上の速度で解析可能です。

SHARE

関連記事

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている