sidetech

(元)インフラエンジニアの寄り道メモ。

メール添付ZIPパスワード別送の怪

最近というか・・・いつからか・・・世の中、メールの添付ファイルはZIP圧縮のパスワード付が当たり前になりつつありますね?といっても日本の企業様に限ってですが。

このパスワード付ZIPファイルの発端は何だったんでしょうね。
この話題・・・かなり前からあるのです。私も知識としては持っていたんですが、自分がメールにファイルを添付する場合はパスワード付のZIPにしたりはしません。
マルウェアチェックが出来なくなっちゃうしねぇ・・・。

どうにもこれの発端はプライバシーマークとかセキュリティ関係の取得での対応策になっているようなんですね。。。ちゃんとソース追っかけていないから本当の事は分かりませんが。

で、最近になってエライ人にですね・・・うちも自動的にパスワード付の添付メールのしくみ考えてくれないか・・・と言われてしまい・・・(゜-゜)うーん・・・困ったなと。
気休めの防御策に投資するってのはなぁ・・・。

まぁとりあえず『論より証拠』かな?ということで・・・実際にちゃちゃっとネットでパスワード解読ツールを探してテストしてみましょう。

Pikazip
ツールの名前は画像に出しておきます。
解析する前に「大文字小文字英数字記号」が入るようにセットして、今回はテストなので、7桁のaから始まるパスワードにしておきました。

私のE3-1220v2ベースPC(サーバー機)のWindows10で、20時間で解いた模様です。思ったよりも掛かりました。でも解けましたねぇ。
このツールはネットワーク対応しており、他のPCリソースを利用する事も出来るので、真面目に環境作れば、あっという間に8桁程度は解析できそうです。

アカウントのパスワードと違い、ZIPパスワードはローカルでフルアタック出来ますからね。辞書型でなくても総当たりで何時かは突破できるという事です。

うーん・・・でも馬鹿みたいに桁数を増やすぐらいしか良いアイデアが浮かばないですね。

なので、パスワードというよりは、アカウント管理ベースに出来ると良さそうですね。
だけど外部の方にファイルを渡したい場合にアカウント管理は無理があるなぁ。

う”-ん”・・・[E:despair]
もう少し勉強します・・・。