ZIP圧縮のパスワードが危ない話

ZIP圧縮のパスワードが危ない話 PC関連
ZIP圧縮のパスワードが危ない話

こんにちは!オフィスITドクターのYukkyです。

私は情報セキュリティに関する講習を行っているので、日ごろから最新の情報を学ぶ為に様々な講習やセミナーに参加しています。

最近は新型コロナウイルスの影響で、セミナーなど人が集まる様なイベントは軒並み中止されています。
IT系だとWeb上で動画配信サービスを利用してのセミナー開催に切り替えられる事が増えていますね。
今まで、会場が遠方で参加できなかったセミナーもWebであれば、社内のPCから参加できるので、個人的にはうれしい変化だと思っています。

さて、今回は先日参加したセミナーで個人的に驚いた話を聞いたので、お伝えしたいと思います。

  1. メールでデータファイルを送る時、どうやって送ってますか?
  2. ZIP圧縮のパスワードが安全ではない!?
  3. 解読完了まで早かった!
  4. 補足
  5. Excelファイル自体にパスワードをかける方法
  6. まとめ

メールでデータファイルを送る時、どうやって送ってますか?

多くの会社では、メールでExcelなどのファイルを送る時にファイルをZIP形式で圧縮して送っていらっしゃると思います。

また、圧縮する際にパスワードをつけて圧縮する様にルール化されている所が多いのではないでしょうか。

パスワードをかけてZIP圧縮したファイルを添付したメールを送り、別のメールで解凍用のパスワードを送って、相手に解凍してもらえる様にするといった話を良く聞きます。

このZIP圧縮する際にかけるパスワードが安全ではないといった話を聞きました。

ZIP圧縮のパスワードが安全ではない!?

Windows8以降のOSではZIP圧縮する際にパスワードをかける機能が標準機能として提供されなくなりました。

多くの企業では圧縮解凍アプリ「Lhaplus」を使っているのではないでしょうか。

このアプリに圧縮の際にかけたパスワードを解析する機能がついています。

アプリについている機能は不正アクセスで良く使われる「総当たり攻撃(ブルートフォース攻撃)」と同じ方法でパスワードを解析します。

この方法、名前の通り全ての文字を順番に組み合わせて試していく方法になります。

1文字ずつずらすので、「0」「1」……「0001」「0002」……「9999」「 10000」という様に順番にパスワードが通るかを試していきます。

ところで、ZIP圧縮する際に良く使われるパスワードとして会社の電話番号を使っている会社は多いのではないでしょうか。

「-」(ハイフン)を抜いた数字10桁をパスワードとして使用する事が多いと思います。

今回は実際に10桁の数字をパスワードとしてZIP形式で圧縮したファイルを用意して、解読させてみました。

解読完了まで早かった!

開始から解読完了まで、大体1時間10分程度で解読できてしまいました。

途中経過をみていましたが、4桁、5桁あたりの試行は10分くらいで終わっていました。

その後の試行は少し時間がかかっていました。桁数が多いと試す回数が増える為、その分時間が掛かるんです。

それでも、数字10桁のパスワードが1時間程度で解読できてしまうのには驚きました。

うっかりパスワードを忘れた時に解読できるのは便利ですが、本来、パスワードをかけるのは、他の人に開かれては困るからかけるはずなので、これだとパスワードをかける意味はありません。

補足

私が受講したセミナーではZIP圧縮のパスワードは、今回紹介した「総当たり攻撃(ブルートフォース攻撃)」ではない別の解析方法を使って解析するサービスがあるとの話でした。
このサービスだとどれだけパスワードが長くても1日もかからずに解析できてしまうそうです。

この点については、ZIPの暗号化の仕組みが関わっている様で、仕組みが簡易な為に解読されてしまうとの話です。

ですので、暗号化の仕組みがより複雑な仕組みを利用する方が良いです。

それがExcelやWord、PDFファイル自体を開くときにパスワードをかける方法です。

例としてExcelファイルにパスワードをかける方法を紹介します。

Excelファイル自体にパスワードをかける方法

Excelファイルを作ったら「名前をつけて保存」して作業結果を保存します。

①「名前をつけて保存」をクリックすると

名前をつけて保存

②こんな画面が表示されます。

名前をつけて保存の画面

③この画面のココ「ツール」をクリックするとメニューが表示されます。この「全般オプション」を選びます。

ツールから全般オプションを選択

④すると、こんな画面が表示されます。この「読み取りパスワード」にパスワードにする文字を入力します。入力した内容の確認画面が表示されるので、もう一度、同じ文字を入力します。

全般オプション

⑤この後は「名前をつけて保存」すれば、次にこのファイルを開くときにパスワード入力が求められる様になります。

開く時にパスワード入力が必要になります

まとめ

ZIP圧縮をする際にかけるパスワードは簡単に解読できます。
今回は数字10桁で試したので1時間程度で解読できました。

アルファベットや記号を混ぜる事で解読までの時間は稼げると思いますが、そもそもの仕組みが簡易な為、解読できてしまいます。

ExcelやWord、PDFファイル自体にパスワードをかけた方が安全です。

以上、ZIP圧縮でパスワードをかけるのは危ないよ。というお話でした。

ホーム
トップ