パスワードは思った以上に解析されやすい?

今回はセキュリティに関する記事です。タイトルから分かる通り、少し怖い内容となっております。

パスワードは、皆さんもご存じの通り見られたくない情報に対して設定し保護してくれるための機能ですね。
これがないと個人情報どころか無断利用もされてしまう訳ですから破られるなんてことは考えたくないものです。
もちろん、通常はそうそう破られるものではありません。それなりの安全性を持っています。

ですが、一部のデータにかかっているパスワードは素人でも解析できてしまうほど安易なものも存在します。

パスワードは、そこまで強固なものではない「破られるもの」であることをここで実感していただき、セキュリティに対する意識を高めることを目的として、今回はいくつかパスワードを破ってみたいと思います。


前置き

先ほども書きましたが、今回は対策というよりも「パスワードは絶対的に安全なものではない」という意識を持ってもらうための記事です。対策に関する記事は以下のリンクよりご覧ください。

もちろん、破られることもあるからといってパスワードを設定しないのは愚の骨頂です。
情報を保護する上でパスワードの設定は有効な手段のひとつであることには間違いありません。

ですが、過信も禁物です。
「どうせばれない、破られないだろう」という慢心は今の時代危険なのです。徹底的にやれ!とまではいいませんが、「こうゆうことは素人にもできる」ことを知っておいて、万が一には対策できるよう備えておいてください。

※私はセキュリティについてあまり詳しくありません。
そんな素人でもある程度は解析できるということを知っておいてください。

ZIPファイルにかかったパスワードの解析

圧縮ファイル(アーカイブ)の一種であるZIPファイルにはパスワードがかけられます。
パスワード付きZIPファイルを開くとパスワードの入力を求められ、間違うと解凍することができなくなります。

パスワード付きZIP

ZIPファイルはよく使われる圧縮ファイルのため、これらを解除するツールは多く出回っているます。
有名な圧縮・解凍ソフト「Lhaplus」でさえ、ブルートフォースアタックによるパスワード解析機能が付いています。

※総当たり攻撃【ブルートフォースアタック】:考え得るパスワードの組み合わせを0からすべて試す力業解析法)

それでは Lhaplus のパスワード解析機能でパスワード付きZIPファイルの解析をしてみました。

解析結果
▲クリックで拡大

結果は以上の通りです。パスワード「123abc」を破るのに5分かかりました。

「英数字小文字のみの検索」という条件付きではありますが、6文字程度の英数字半角程度なら片手間でパスワードが解析できてしまうのです。(大体のひとは英数字半角でパスワードを設定するため、この条件で検索しました)

一般的に8文字以上のパスワードが推奨されていますが、英数字半角であるということを前提に解析すれば8文字でも約1ヶ月で解析できてしまいます。本気で破りたいという意志があれば、現実的な日数ですね。

また、専用のツールを用意すればもっと早く解析できます。「パスゲッター」という有料のソフトが最近有名です。
CPUだけでなくGPUまでもフルに使うことで毎秒5億パターンものパスワードを総当たりしてくれるようです。
(PDFファイルも解析可能)

以上の解析方法は「ブルートフォースアタック(総当たり攻撃)」ですので、文字数や扱う文字の種類が多くなれば容易に解析を難しくできるのできるのですが、最近はマシンスペックも急激に上がっているので英数字半角のみならば8文字以上あってもだめでしょう。

「8文字以上の英数小大文字記号など」を組み合わせないと実質パスワードとしての役割を果たしていないのが現状です。
また、強固なパスワードをかけるだけでなく、ファイルを触らせないというアナログ的な対策も必要になるでしょう。

※他にRARファイルもパスワードをかけられますが、同じように解析ソフトは多く出回っています。
AES暗号を使っているのでZIPよりは解析しにくいのですが、それでも注意は必要です。

メールパスワードの解析

メールをするためには「メール用アカウント」が必要になります。

GmailやYahooメールなどを利用する際にユーザーIDやパスワードを設定します。
これらはメールソフトなどに保存されているので、そこからパスワードなどを引き出すことができます。

これは攻撃ではなくただの「読み込み」なので、特殊なツールを使えば一瞬で分かります。
そのツールを使って通常見えないはずのパスワードを表示してみます。

メールアカウントのパスワード
▲通常は「*」によって見えることのないパスワード

解析
▲クリックで拡大

以上が解析結果です。時間もかからず一瞬で「メールアドレス」「ユーザー名」「パスワード」などを読み出しました。

この「Mail PassView」は、起動するだけでそのパソコンで使われているメールソフトの設定を読み込み「メールソフト名」「メールアドレス」「ユーザー名」「パスワード」「ポート」などを一瞬で読み込みます。

対応しているメールソフトも非常に多く、「Outlook Express」や「Microsoft Outlook」「Windows Live Mail」「Mozilla Thunderbird」などの設定情報を読み出し可能です。

もちろん、このツールは「パスワードを忘れた」ときに使うものです。
ですが、こうも簡単に読み出せるとなると少し不安になってきます。このツールを他人のパソコンまで持ってきて実行されたら・・・なんてことを考えたら本当怖いですね。

これら情報は、メールソフトを「メールすることができる状態」にまで設定可能にする情報です。無断でメールアドレスを使われたらひとたまりもありません。

このように、メールアカウントのパスワードは何の知識も無しに表示可能なほど暗号化がされていないのです。
特に「Gmailアカウント」と「メールアドレス / パスワード」は基本一緒になるので、これら情報が漏れると自分が利用しているサービスを勝手に使われる可能性もあるのです。

あまり信用のない人にパソコンを貸し付けない方がよいというのは、以上のように簡単に分かるパスワードを抜き取られる可能性があるからなのです。このようなツールが世の中にはあることを知っておきましょう。

Internet Explorerに保存されたユーザーIDやパスワードの解析

別の記事で書いたのですが、Internet Explorerを含む各Webブラウザには「オートコンプリート【Autocomplete】」という機能が備わっています。以下、詳細記事です。

検索窓やショッピングサイトの認証機能などに入力すると、過去に入力されたワードが予測表示されることがあります。
このように、過去に入力したURLやユーザーID、パスワードなどの情報を記憶して自動で予測ワードを検索、表示し入力の手間を省かせる機能のことを「オートコンプリート機能」といいます。

便利な機能なのですが、これら情報もブラウザ上に保存されるので読み出そうと思えば簡単に呼び出せます。
先ほどの「Mail PassView」と同じ会社が作っている「IE PassView」にてやってみましょう。

※因みに他のブラウザに保存されている情報を解析したい場合は同社の「WebBrowserPassView」で可能です。

解析結果

こちらも一緒でIE PassViewを起動すれば瞬時に読み込まれます。

以上の画像では「登録されているサイト」と「ユーザーID」「パスワード」がしっかり表示されてしまいました。
これが通販サイトの情報だったら洒落になりません。勝手に買い物されてしまったらそれこそ金銭被害です。

このツールを自分のパソコンへ使われなければいいのですが、何せフリー(無料)で提供されしかも軽いので私のような素人でも使うことができてしまいます。

「自分しかこのパソコンは使わない」というのが一番の対策ですが、中々そうもいかないので数人で同じパソコンを使用する場合はオートコンプリートのデータを定期的に削除するか、機能を停止して保存させないようにするのがよいでしょう。

停止方法は先ほど張ったリンク先の記事にて解説しています。

まとめ

以上、「ZIPパスワード」と「メールアカウント」「オートコンプリートデータ」を解析してみましたが、いかがでしたか。

パスワードというのは以外にも簡単にわかるものなのです。

「パスワードをかけておけば大丈夫」と思っていた方は結構ショックだったのではないでしょうか。
「対象のパソコンを操作できる状態である」という前提が必要ですが、それさえクリアできればメールアカウントからWebサービスのアカウントまであらゆる情報が意外にも簡単に表示できてしますのです。

これらを防ぐには、強固なパスワードを設定するだけでは足りません。信用できない人にはパソコンを貸さない、触らせないというアナログ的な対策も必要になるのです。共用のパソコンならば、できるだけアカウント情報を入力しないような対策も必要です。

個人のパソコンならばここまで神経質になる必要はないかもしれませんが、大人数で使用する場合は要注意です。
専用の無料ツールが出回っている以上、特に専門知識が無くとも悪意があればだれでも解析可能な時代なのです。

今回の記事は少し怖い内容・書き方にしましたが、それは「パスワードをかけておけば大丈夫。そうそう簡単に破られない」という意識を壊すためです。こういったことを知らなければどうしても対策がいい加減になってしまうからです。

大事な情報が、自分の思っている以上に簡単に取り出せることを知らない。それが一番の脅威なのです。
この記事で、さらにセキュリティ意識が高くなってくだされば幸いです。

最後に

「パスワードは意外にも簡単にわかるもの」ということを強調するため、今回使用したツールはどうしても悪者扱いになってしまいましたが、このようなツールも扱いを間違えなければとても便利なツールで開発者もそれを望んでいます。

「このツールを使っている=悪者」ということでは決してないので、ここのところを最後に捕捉しておきます。

Track Back

Track Back URL

Comments [10]

初めまして。かなり、悩んで居まして、ご相談したく、コメントを残させていただきました。よろしくお願いします。webサイトに掛かったパスワードを解析する事は可能なのでしょうか?出来たら教えていただきたいです。よろしくお願いします。

それをお教えすることはできません。

用途が不明な以上、内容を教えてしまうと中山さんは「不正アクセス禁止法」に引っかかる可能性があり、また私も幇助犯として逮捕されてしまうからです。

そもそも素人ができるほど簡単なものではないですし、私も知りません。
もし、ブログサービスにログインできないことを指しているならば、サービスを展開している企業へ問い合わせしてみればパスワードを教えてくれるか、パスワードを一度リセットしてくれます。そこから再ログインできるはずです。

それ以外で解析すると犯罪になっちゃうこともありますので注意してくださいね。

お返事ありがとうございました。そのサイトには何度もmailしていますが、管理人から一度も返事が来た事がありません。野放し状態の登録もない、だれでも気軽に使えるサイトです。パスワードを開いた所で何も足跡もつつくわけでもない、だれが入っても痕跡すら分からない様な安価なサイトです。弁護士等にでも頼んだら解析してもらえるのでしょうか?どうして良いの分からないんです。何か、ネット上の問題があるとき、どういった事をしたら良いのか、アドバイス等、ありましたら、よろしくお願いします。私だけでなく、多くの方もきっと悩んでいます。もし無理なら無理にお返事していただかなくても、大丈夫ですので、スルーしていただいても、かまいません。いろいろと、ご迷惑を掛けて、大変申し訳ありませんでした。ありがとうございました。

中々お困りのようですね。

ですが、いくら辺境のサイトとはいえ管理者に断らず勝手にログインすれば犯罪になりますので、まずはここの考えを改めてください。目には目を、悪には悪をでは通用しませんよ。

もし、そのサイトで「著作権侵害」「名誉毀損」「個人情報の掲載」など問題のある箇所があった場合は、「プロバイダ責任法」に基づいて管理者(事業者)に対し削除要請をすることができます。そして管理者が要請に応じ削除をした場合、権利者からの損害賠償の責任を免れるという法律です。

○プロバイダ責任制限法について - 警視庁
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku402.htm

ブログサービスでの削除要請は私もしたことがあります。サービスがしっかりしたところならば、専用のお問い合わせ窓口があります。ここから連絡すれば事業者側はちゃんと対応してくれます。(因みに、私の要請は聞き入れてくださり当該サイトの削除が実行されました)

個人運営の掲示板などでも例外ではありません。連絡手段がない場合はお近くの法律相談事務所を訪れて弁護士に相談してみてください。弁護士が代理人となって管理者やプロバイダ事業者に対して削除要請をするための手順を案内してくれるはずです。

以上、勝手に削除要請が目的と決めつけて回答していますが、的外れであっても法的な問題があるのならばお近くの弁護士などへご相談されるのが一番かと思います。先ほどの警視庁のページでも電話相談ができるようになっていましたね。こうゆうところから、何をすればいいのか案内してもらうとよいでしょう。

大事なのは報復ではなく法的な対処であることを念頭にじっくり焦らず行動してみてください。

簡単ですか?

ソフトウェアをゲットして実行するだけなので
とても簡単かと思います。

全部のパターンでうまくいくというわけではないですが
知っておくというのは大切かと思います。

はじめまして。村井と申します。
iTunesのバックアップデータのパスワードが分からず困っております。
何を入れても駄目なんです;;
写真のデータだけでも復元したいのですが可能でしょうか?
何卒、よろしくお願いいたします。

コメントありがとうございます。

まず、私はiPhoneやiPadは所持しておらず、iTunesも普段利用は
していないのでわからないことが多いことを最初に断っておきます。

上記理由により、iTunesのバックアップデータのことがよくわかっていないのですが、
iPhoneなどの端末に保存されていたデータのバックアップをiTunesを使って
作成したが、パスワードがわからなくなったということでよいでしょうか。

申し訳ございませんが、この手の話は基本「諦めていただく」ことになることが多いです。

◯iPhoneのバックアップ暗号化パスワードを忘れた時の再設定方法
http://iphone-beginners.com/kihonsousa/passcode/kiji-4222.html

以上の方法でパスワードのリセットは可能になっていますが、
忘れてしまったバックアップの方の復元はできません。
そもそもできてしまったら暗号化した意味がありません。
容易に復元ができないからこそ意味があるのです。

この記事に書いてあることは、所謂「力任せのゴリ押し」です。
ブルートフォースアタックと呼ばれる攻撃方法ですが、
要は総当りでパスワードを試しているだけです。
どこにも解除できる保証などありません。
ただ、専用のツールが簡単に手に入るので例にしてみました。

ただ、iTunesの場合は企業が相手ですから
そう簡単に暗号化のパスワードを解除するようなものがでてくるわけがありせん。
そもそもでてきたら困ります。

Appleのサポートページがありました。

https://support.apple.com/ja-jp/HT205220

下の方に「暗号化したバックアップのパスワードを忘れてしまった場合」という
項目があるので確認してみてください。これ以外の方法は
申し訳ございませんが私は存じておりません。

確認することといえば、CapsLockなどが入っていないかどうかを確認し、
メモ帳などでパスワードを入力してみて、しっかり入力できているかどうか
確認してからiTunesへ入力してみるという方法。ヒューマンエラーを防ぐためですね。

あとは、

◯iPhone/iPadのバックアップ復元用のパスワードを忘れたら試して欲しいこと
http://kanshin.hatenablog.com/entry/2015/08/07/143410

以上のサイトにある通り、考えうるあらゆるパスワードをとにかく入れてみる。
人力の総当り攻撃ですね。
特にパスワードを使いまわしている場合は有効です。(セキュリティ上使いまわしは非推奨ですが)


突き放すような感じになってしまい申し訳ございませんが、
パスワードというのはそれだけ重要なもので、決して忘れてはいけないものということを
今回学んでいただければと・・・

以上、お返事とさせていただきます。

紙にgmailのメアドと、パスを書いておいたら、友人の知り合いと思われる人に見られてしまったようで、そのgmailのパスワードが変えられてしまいました。スマホゲームなども
それでバックアップをとっていたので、すべてデータがとられてしまいました。ゲームには多量な課金もしていますから、すぐに取返したいです。ですが、その方は、いわゆる転勤族のようで、電話もつながらないし、(契約切れかも)今住んでいる場所もわからないです。メアドは分かっています。
何か、よい方法はないですか?

コメントありがとうございます。

こういった事例は「不正アクセス禁止法違反」となり犯罪となります。
ということで完全な事件です。警察に届け出たほうが確実でしょう。
逃げられてしまったとなれば、こちらからはほとんど何もできません。

IDとパスワードは、いわば身分証明書です。
誰がそのデータ、アカウントを管理しているのかを証明するためのものです。
それが盗まれパスワードが変えられたということは、現在アカウントの
所有者は盗んだ相手になり、ラメさんは「赤の他人」という扱いになります。

パスワードがかかったアカウントに自分以外の他人が好き勝手に入ることは
通常できませんよね。今、ラメさんはこの「他人」の状態と同じです。
Googleに「このメールアドレスは元々私のものです」と行っても、
証明書であるパスワードがなければGoogleも対応はできません。
(なりすましの可能性がどうしても残るからです)

もし、アカウントに「アカウント復旧オプション」を設定し、かつ盗んだ相手が
この情報を変更していなければこれを利用してパスワードの再設定ができるかもしれません。

◯Gmail アカウント復旧オプションを設定して使用する
https://support.google.com/mail/answer/185710?hl=ja


これでダメならば警察に届け出ましょう。金銭被害にも繋がるので対応してくれます。
近くの交番でも良いし、電話では下記の警視庁のサイトに「サイバー犯罪に係る電話相談窓口」
というものが電話番号として記載があります。

◯不正アクセス - 警視庁
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku34.htm

ただの趣味でやっている一ブログの管理人である私では何もできません。
公的機関を利用するのが最も早い解決になるかと思います。

コメントする

非公開。必須ではありません。

(いくつかのHTMLタグ(a, strong, ul, ol, liなど)が使えます)

このページの上部へ

サイト内検索

広告

最近のコメント

Powered by Movable Type 6.3.2