週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード

「暗号化ZIPのパスワードは別送します(PPAP)」は無意味、ZIP暗号化パスワードは1秒未満で解読可能

2021年06月23日 18時40分更新

 デジタルアーツは6月23日、PPAP(メールなどでパスワード付きZIP暗号化ファイルを送る手法)がセキュリティーの上で問題となっていることへの注意喚起として、ZIPファイルのパスワードは6桁程度ならば1秒未満で解読できると発表した。

 ZIPファイルのパスワードには入力制限がなく何度でも試行できることから、同社では一般的に購入可能なパソコンとオープンソースで入手できるパスワード回復のソフトウェアを利用してテストを実施。サンプルで設定した「zansin」という英語小文字6ケタのパスワードは1秒未満で解読できたという。また、12ケタと若干多めのケタ数であっても解読時間は2分51秒という短時間で解読。

使用したPCはCPUにインテルCore i5-10210Uを搭載した一般的なもので、パスワード解読はいわゆる総当り方式

 さらに、ZIP暗号化したフォルダではパスワードがなくても中身のファイル名やフォルダ名が見えてしまうことから内容がわかりやすいという指摘もしている。

 同社では従来からPPAPのインシデントリスクに警鐘を鳴らしており、PPAPに代わるファイル送信運用としてメールセキュリティー製品「m-FILTER」Ver.5と「FinalCode@Cloud」の「脱ZIP暗号化運用」などの利用を推奨している。

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう

本記事はアフィリエイトプログラムによる収益を得ている場合があります