パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 108
ストーリー by nagazou
面倒ごとを増やすと仕事している感 部門より
面倒ごとを増やすと仕事している感 部門より
デジタルアーツは23日、パスワード付きZIPファイルをメールで送信するPPAPに関する分析レポートを公開した。同社はオープンソースで誰でも入手できるパスワード回復のソフトウェアとCPUにCore i5-10210Uを搭載した一般的な仕様のPCを組み合わせて、どれくらいの時間でZIPファイルのパスワードを解読できるかテストしたという(デジタルアーツ、PC Watch、週刊アスキー)。
サンプルで設定した「zansin」という英語小文字6ケタのパスワードであれば、1秒未満で解読することができたとしている。パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、自社の提供するソリューションを利用することを勧めている。
サンプルで設定した「zansin」という英語小文字6ケタのパスワードであれば、1秒未満で解読することができたとしている。パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、自社の提供するソリューションを利用することを勧めている。
PPAPが無意味なのは (スコア:5, すばらしい洞察)
Re: (スコア:0)
ほんこれ。
Re: (スコア:0)
よし、パスワードを平文で書かずにヒントだけ書こう。
御社電話番号の各桁を乗算した数値をJISコードとした文字です。っと
Re:PPAPが無意味なのは (スコア:2, おもしろおかしい)
実際、こんなメールが来る。
--------
お世話になっております。ABCの田中です。
本日の資料をお送り致します。
パスワードは弊社の英文字略称3文字です。
初めから文字種がわかってるとかさ (スコア:3)
そんな前提置けるなら「パスワードを知っていたら0.01秒で解けます」
でもいいやん
ちょっと騙しに近い測定だよな
12桁のほうは数字のみだし
啓蒙のためにはいいんかもしれんけど売り込みとしては上品とは言いづらいな
しかもzansinとかそんな読めるパスワードとか…
> 「有名ドラマで使われた『zansin』なパスワードも1秒解読…
へぇー
Re:初めから文字種がわかってるとかさ (スコア:1)
どうせ暗号化もご丁寧にパスワードのCRCまで付いてるZipCryptoなんだろ
Re:初めから文字種がわかってるとかさ (スコア:1)
いまのWindowsにはbsdtar(tar.exe)が標準でついてて、aes zipも展開できるんですけどね。
Re:初めから文字種がわかってるとかさ (スコア:1)
パスワードの前提が短すぎないか? (スコア:1)
JPAAWGの今年のイベント資料だと
https://www.jpaawg.org/docs/event/2021ppap/ [jpaawg.org]
RTX 2080Ti 2枚使った状態でも14文字で記号含むと理論値で66億年かかるとのこと
PPAPが意味ないってのは分かるがZIPパスワードが弱いってのは違うんではないか?
Re: (スコア:0)
それ。
しかもしばらく解読処理してる間に「実はめちゃくちゃ長くて作業が無駄になるんじゃないか」と疑心暗鬼を生じるおまけつき。
記事は以前の感覚よりだいぶ早いけどね。ソフトで効率も多少上がるもんだ。GPU対応だとなおさら。でも文字数で殴れば解読は無理筋。
もちろん普通にPGPとか使うのが一番だけどな。
対応メーラーが少なすぎる。
Re: (スコア:0)
zipの強度は単純に文字数と文字種別だから、復号デモとしてアルファベット限定6で文字なら数分って事なんでしょう。
PPAP問題ってよりは、zipでもパスワードが短過ぎると意味が無いって言いたいのかも。
グラボはGTX1070 (スコア:1)
たぶんCore-i5よりもGTX1070の方が重要じゃないかと思われる。
ところで、
Core i5-10210Uは、2019年に出たモバイル用CPUなので、
普通に考えると、2019~2020あたりに出たノートPCとかそういうの。
で、GTX1070は2016年発売のちょっと昔のGPU。
CPUの世代的に考えると、スペック的に同程度でも、
より新しい世代のGPU(GTX1660とかRTX2060とか)が出てきてるはずで、
i5-10210UとGTX1070の組み合わせは、ちょっと不思議に感じたりする。
Re: (スコア:0)
グラボ高騰で手に入らなかっただけだったり
NVIDIAが品不足対応のため、GeForce RTX 2060とGTX 1050 Ti製品を増やす計画 [it.srad.jp]
Re: (スコア:0)
省電力ベアボーンにその辺のGPU突っ込んだか、ノートPCにThunderboltでeGPU接続したかのどっちかだと思われる。
eGPUだと流行ったのがちょうど1070ぐらいで、その時のを流用したんじゃない?
不治痛の中の人 (スコア:1)
こんな早いCPU社長も使ってねーよ。パスワード付きzip万能だね!ったく、オタクが秋葉原の最新CPU使ってなんか言ってるよ。「一般的には」PPAPで大丈夫なんだよ!
くらいに思ってるんだろうなぁ。今日今現在。
メールの添付ファイルをパスワード付きzipにして、パスワードをPPAPするOutlookプラグインを入れて、そのソフトが入っていないと【セキュリティ上の脅威が有ります!】って画面に表示するソフトを入れさせられてるけどな。
ファイル名見えちゃうし (スコア:0)
zipはパスワード付でもファイル名は見えちゃうしねえ。
しかし、メールに添付されたパスワード付zipファイルはどうやって手に入れるのだろうか。
メールサーバー?
途中経路?
ユーザーのPC?
Re:ファイル名見えちゃうし (スコア:1)
誤送信でファイルだけ送られた場合かなぁ
メールサーバとか受信端末に侵入出来るなら、PPAPならパスワードも手に入るし解析不要なはず
Re:誤送信 (スコア:1)
なるほど、こんな阿呆がいるからPPAPで誤爆が未だに起きるのね。
A社にはA社向けの、B社にはB社向けの見積もりを送るつもりが逆にしちゃったとかを防ぎたいんだから、小学生でも無意味な案だって理解するだろうに。
Re:ファイル名見えちゃうし (スコア:1)
ほんとうに必要なのは「送り先を間違ってしまったメールの無効化」というソリューションなんだから、
そもそもパスワードは不要で、いにしえの「宅ファイル便」系のサービスでいいような。
Re: (スコア:0)
運営社不明のサービスを平気で使う人が多いけど、
裏でファイルを盗み見られてる可能性は考えないのかな。
自分は独自ドメインのサーバーでやりとりしてる。
Dropboxとか名の知れたサービスならいいと思うんだけど。
Re:ファイル名見えちゃうし (スコア:2, すばらしい洞察)
自分は独自ドメインのサーバーでやりとりしてる。
相手からしたら運営者不明、サービスですらない謎の送信先なわけだが。
Re: (スコア:0)
1回zip圧縮して、それを暗号化つきzip圧縮で2回目の圧縮をすれば、
オリジナルのファイルは暗号化解読できないと見れない
zip以外のアーカイバでは、ファイル名暗号化オプションを備えてるのもある
何も分かってない (スコア:0)
メールサーバーにセキュリティソフトが入っていると、勝手にZIPを解凍して中身をチェックする。
セキュリティソフトによってはEXEが入っているだけで脅威だとみなして勝手に添付zipファイルを削除してくれる。
しかも受信メールには削除したことが記載されないから受信者はヤラレタことに気づきもしない。
パスワード付zipにしているとそのトラブルを防げる。
#パスワードが半角英数字記号だけだと思ってませんか?zipだと実は漢字まで使えてしまう
Re: (スコア:0)
> パスワード付zipにしているとそのトラブルを防げる。
ひとつ上のコメントにあるようにパスワード付きでも格納されているファイル名の確認はできるので、パスワード付きzipの中にexeファイルがあれば削除するかどうかはセキュリティソフトしだい。
「トラブルを防げる」と断言できるようなものではない気がします。
Re: (スコア:0)
ZIP二段圧縮が基本。
通常のzipしたものを、暗号化zipする。2回目のは無圧縮でも可。
…そういうセキュリティソフトって、.xlsx ファイルとかはどうしてんだろね?
マクロついてないExcelファイルだからok!とかでスルーだったりするか?w
Re:何も分かってない (スコア:2, すばらしい洞察)
これについてはうちの使ってるアプライアンスだと一番上がパスワード付zipの時点で弾くようになってるな
暗号化ZIP掛けてからノーマルZIP2段掛けはまだやったことないけど、たぶんクライアントのアンチウィルスソフトウェアで引っかかると思われる。
8段階圧縮 (スコア:1)
某セキュリティソフトは添付ファイル8段階の圧縮まで回答してスキャンしてた。
ただ、RARが無限にZIP圧縮されたファイルに見えるらしく、よくクラッシュしてた。
Re: (スコア:0)
それって「パスワード付zipにしているとそのトラブルを防げる」とはぜんぜん違う話になってね?
「二段圧縮が基本」なんて元のコメントにはない後出し条件だし
Re: (スコア:0)
「その」トラブルを防げる
Re: (スコア:0)
やはりここは過去の伝統に習いcompress.exeで「win386.exe」→「win386.ex_」にしておけば解決ですね
他にもishにして本文に書くとか
なんで専用拡張子にせず末尾アンダーバーにしたのだろう・・・
そう言えば当時えっちな画像ファイルの末尾にishでエンコードした無修正版が埋め込まれてるなんて手法もあったなぁ
Re: (スコア:0)
compress.exeにはアーカイバ機能が無いからでしょうね>末尾
ファイル単体での圧縮しかできない。
専用拡張子にしちゃうと、ファイル単位で圧縮した時に区別できないね。
例えば win386.exe と win386.dll があった場合、win386.cmp みたいなファイルになったら区別できない。
拡張子最後1文字削るのはDOSの8.3ファイル名のせいだろうな。おおざっぱw
Re: (スコア:0)
Emotetが流行った結果、今のセキュリティゲートウェイはパスワード付きZIPファイルおよびそれが添付されたメールを弾くようになりましたとさ。(マジ)
>#パスワードが半角英数字記号だけだと思ってませんか?zipだと実は漢字まで使えてしまう
それはZIPの文字種・文字数については環境依存っぽいから、
その圧縮ソフトが単純にバイト列として取り扱ってパスワード掛けただけじゃね?
このレポートから得られる結論 (スコア:0)
複雑なパスワードならPPAPでもおk。
Re: (スコア:0)
問題の本質は「ファイル入手されたら何度でもリトライ可能」ってことにあるのでその理解は大間違いだな。
Re: (スコア:0)
66億年かけて解凍して何の意味があるのか…達成感?
# 実際はその間の技術進歩で短くなるかもしれないが、それとてやる意味があるのかは疑問
Re: (スコア:0)
「ファイル入手されたら何度でもリトライ可能」であっても「複雑なパスワードなら解析時間が現実的でない」とレポートからは読み取れるよ
現実的に想定されうる英字数字記号の組み合わせ8桁で55日かかるので、12桁とかにすればリトライ可能でも問題ないことになってしまう
問題の本質は「zipファイルとパスワードの送信経路が同じであること」だね
PPAP (スコア:0)
??ずいぶん古いネタ [youtube.com]ぶち込んできたなと思ったら、完全に私の勘違いでござった、、、、
「偶発的な事故」? (スコア:0)
> 同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、
「総当り方式の解読」を試みてる時点で明らかに事故じゃなくて意図的な行為だよね。
この「偶発的な事故」って何を指してるんだろう。
Re: (スコア:0)
>この「偶発的な事故」って何を指してるんだろう。
そういう悪意ある人の手に渡ること自体を指して「事故」と言ってる。
大抵の人はそこまでやる前に廃棄するからね。
Re: (スコア:0)
> そういう悪意ある人の手に渡ること自体を指して「事故」と言ってる
その場合、パスワードが解読可能である事と「事故」の起きやすさは無関係では、と思って元のレポート読んできたけど、そっちにはそもそも「事故」という表現自体出てこないのね。
レポート自体は、結局自社製品のPRでしかないので話の持って行き方が強引だけどそこまで変な内容でもなかった。
これ (スコア:0)
やってる感じを出したいだけなのと
組織の上の方に意見を言うと叩く悪しき風習の二重苦が原因なのでは?
すごく悪質な宣伝記事 (スコア:0)
金貰っているのか知らんけど、こんなゴミ記事をストーリーとして掲載するとは、技術サイトとして失格。
> 同社では従来からPPAPのインシデントリスクに警鐘を鳴らしており、PPAPに代わるファイル送信運用としてメールセキュリティー製品「m-FILTER」Ver.5と「FinalCode@Cloud」の「脱ZIP暗号化運用」などの利用を推奨している。
何が酷いかって?
・「パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。」と言ってるけど、その解析できたパスワードは「202106012045」で、数字のみ決め打ちで総当たり攻撃している。
・脆弱な ZipSrypto を使用
・zip でも AES-256 は使用可能 (ただし Windows 10のzipフォルダーで何故か解凍できないという問題はある)
・へんな独自のセキュリティー製品を使わなくても 7z や rar5 (両方とも AES-256) を使うとか、zipで AES-256 を使えば良い。
大昔の脆弱な ZipSrypto が脆弱だからってなんで独自の訳の分からん有料の製品を導入しなきゃいけないのか。
Re: (スコア:0)
酷いのは分かったから落ち着け
ZipCryptoがZipSryptoになってんぞ
Re: (スコア:0)
「ZIPがダメなら、他の暗号化ソフトでも駄目なんですか?」
って聞こうかと思ったら、やっぱりそういうわけか。
まあアレがさほど有効な手順ではないのは事実だが、きちんと
暗号化されたファイルならあんなに簡単には解読できないわな。
タイトル見て (スコア:0)
既知平文攻撃で解読できるみたいな話かと思ったら、
別次元の話だった…
Re:タイトル見て (スコア:1)
ディクショナリアタックすら不要で単なるブルートフォースで破れちゃうんですね...
もっと長いパスワードにすればいいでしょ? (スコア:0)
20~30文字のランダム生成文字列にしとけば、そう簡単には解読できない
パスワードはもちろん別経路で送る
インターネット通らない手紙・ファックス・SMS、等の方法で
Re: (スコア:0)
ふっかつのじゅもんがちがいます
国産 FileCapsule Deluxe Portable (スコア:0)
↑ 知らない人いるんだ・・・・?
共通鍵、秘密鍵 二種類使えてAESされるからZIPよりはるかに安全。
Re:国産 FileCapsule Deluxe Portable (スコア:1)
普通の用語だと、共通鍵は秘密鍵に含まれないか?
共通鍵は通常秘匿しないと意味ないし。