Bizコンパス

暗号化ZIPはパスワードを別経路で知らせれば安全なのか?
2018.08.06

今知っておきたいITセキュリティスキルワンランクアップ講座第2回

暗号化ZIPはパスワードを別経路で知らせれば安全なのか?

著者 北河 拓士

 企業間でファイルをやり取りする場合に、ZIPファイルにパスワードを付けて暗号化し、電子メールに添付するという方式がよく使われています。この時、パスワードを同じメールに記載したり、別のメールで送信したりすることについては情報漏えい対策としての意味がないのではないかという疑問の声が投げかけられており、IPAが公開している「5分でできる!情報セキュリティ自社診断」では「パスワードは電話等の別手段で知らせる」、としています。

 では、パスワードを電話等の別経路で知らせれば暗号化ZIPは安全と言えるのでしょうか?今回は、暗号化ZIPの安全性について考えてみたいと思います。

 取り上げる問題は、「暗号強度の問題」「ファイル名が暗号化されない問題」「既知平文攻撃の脆弱性の問題」「Windows環境においてZoneIDが欠落してしまう問題」の4つです。

 

暗号強度の問題

 ZIPで通常使われる暗号方式は「Traditional PKWARE Encryption」(ZipCryptoとも呼ばれる。以下ZipCrypto)という独自の方式です。ZIPにはAES 256bitなどより強力な暗号方式もあるのですが、Windows標準のエクスプローラー(圧縮フォルダー)で復号できなかったり、圧縮・解凍ソフトによりフォーマットが異なり復号できない場合があったりすることから、企業間でファイルをやり取りする場合には互換性の高いZipCryptoが使われることが殆どです。

 ZipCryptoがオリジナルのPKZIPに実装されたのは1993年で、今から25年も前のことです。当時のコンピュータの処理性能では短いパスワードでも安全だったとしても、処理性能が格段に向上した現在では安全とは言えなくなっています。

 パスワード解析ソフトとして有名なJohn the Ripper において、ZIP (ZipCrypto) 、Acrobat X (PDF 1.7 Level 8)、MS Office 2010、MS Office 2013、それぞれの暗号化フォーマットについて、1秒間に何個のパスワードを解析できるかを比較した結果が以下のものです。解析に使用したPCのCPUは第4世代CoreプロセッサーのCore i7 4790で、現在では決して高速と言えるスペックではありませんが、誰でも一般的に入手可能なPCでどれくらいの速度で解析できるかを見ていただければと思います。

 1秒間に解析できる回数が多いほど、高速に解析ができる、つまり強度の弱い方式となります。この結果を見るとZipCryptoはMS Office 2013に比べ約40万倍高速に解析ができることになります。

 パスワードの解析には、辞書に載っている単語や人名などの固有名詞など、パスワードとしてよく使われる単語の辞書を使って解析を行う「辞書攻撃」、文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」などがありますが、ここでは… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である

パスワードの定期的な変更は、実は間違いだった!?

2017.10.31

ビジネスの常識は「非常識」?

パスワードの定期的な変更は、実は間違いだった!?

現代人は度重なる「パスワード変更」に疲れている

2016.10.24

海外IT動向ウォッチング 2016年10月~2017年3月第3回

現代人は度重なる「パスワード変更」に疲れている

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている