パスワードは思った以上に解析されやすい?


今回はセキュリティに関する記事です。タイトルから分かる通り、少し怖い内容となっております。

パスワードは、皆さんもご存じの通り見られたくない情報に対して設定し保護してくれるための機能ですね。
これがないと個人情報どころか無断利用もされてしまう訳ですから破られるなんてことは考えたくないものです。
もちろん、通常はそうそう破られるものではありません。それなりの安全性を持っています。

ですが、一部のデータにかかっているパスワードは素人でも解析できてしまうほど安易なものも存在します。

パスワードは、そこまで強固なものではない「破られるもの」であることをここで実感していただき、セキュリティに対する意識を高めることを目的として、今回はいくつかパスワードを破ってみたいと思います。

前置き

先ほども書きましたが、今回は対策というよりも「パスワードは絶対的に安全なものではない」という意識を持ってもらうための記事です。対策に関する記事は以下のリンクよりご覧ください。

もちろん、破られることもあるからといってパスワードを設定しないのは愚の骨頂です。
情報を保護する上でパスワードの設定は有効な手段のひとつであることには間違いありません。

ですが、過信も禁物です。
「どうせばれない、破られないだろう」という慢心は今の時代危険なのです。徹底的にやれ!とまではいいませんが、「こうゆうことは素人にもできる」ことを知っておいて、万が一には対策できるよう備えておいてください。

※私はセキュリティについてあまり詳しくありません。
そんな素人でもある程度は解析できるということを知っておいてください。

ZIPファイルにかかったパスワードの解析

圧縮ファイル(アーカイブ)の一種であるZIPファイルにはパスワードがかけられます。
パスワード付きZIPファイルを開くとパスワードの入力を求められ、間違うと解凍することができなくなります。

パスワード付きZIP

ZIPファイルはよく使われる圧縮ファイルのため、これらを解除するツールは多く出回っているます。
有名な圧縮・解凍ソフト「Lhaplus」でさえ、ブルートフォースアタックによるパスワード解析機能が付いています。

※総当たり攻撃【ブルートフォースアタック】:考え得るパスワードの組み合わせを0からすべて試す力業解析法)

それでは Lhaplus のパスワード解析機能でパスワード付きZIPファイルの解析をしてみました。

解析結果
▲クリックで拡大

結果は以上の通りです。パスワード「123abc」を破るのに5分かかりました。

「英数字小文字のみの検索」という条件付きではありますが、6文字程度の英数字半角程度なら片手間でパスワードが解析できてしまうのです。(大体のひとは英数字半角でパスワードを設定するため、この条件で検索しました)

一般的に8文字以上のパスワードが推奨されていますが、英数字半角であるということを前提に解析すれば8文字でも約1ヶ月で解析できてしまいます。本気で破りたいという意志があれば、現実的な日数ですね。

また、専用のツールを用意すればもっと早く解析できます。「パスゲッター」という有料のソフトが最近有名です。
CPUだけでなくGPUまでもフルに使うことで毎秒5億パターンものパスワードを総当たりしてくれるようです。
(PDFファイルも解析可能)

以上の解析方法は「ブルートフォースアタック(総当たり攻撃)」ですので、文字数や扱う文字の種類が多くなれば容易に解析を難しくできるのできるのですが、最近はマシンスペックも急激に上がっているので英数字半角のみならば8文字以上あってもだめでしょう。

「8文字以上の英数小大文字記号など」を組み合わせないと実質パスワードとしての役割を果たしていないのが現状です。
また、強固なパスワードをかけるだけでなく、ファイルを触らせないというアナログ的な対策も必要になるでしょう。

※他にRARファイルもパスワードをかけられますが、同じように解析ソフトは多く出回っています。
AES暗号を使っているのでZIPよりは解析しにくいのですが、それでも注意は必要です。

メールパスワードの解析

メールをするためには「メール用アカウント」が必要になります。

GmailやYahooメールなどを利用する際にユーザーIDやパスワードを設定します。
これらはメールソフトなどに保存されているので、そこからパスワードなどを引き出すことができます。

これは攻撃ではなくただの「読み込み」なので、特殊なツールを使えば一瞬で分かります。
そのツールを使って通常見えないはずのパスワードを表示してみます。

メールアカウントのパスワード
▲通常は「*」によって見えることのないパスワード

解析
▲クリックで拡大

以上が解析結果です。時間もかからず一瞬で「メールアドレス」「ユーザー名」「パスワード」などを読み出しました。

この「Mail PassView」は、起動するだけでそのパソコンで使われているメールソフトの設定を読み込み「メールソフト名」「メールアドレス」「ユーザー名」「パスワード」「ポート」などを一瞬で読み込みます。

対応しているメールソフトも非常に多く、「Outlook Express」や「Microsoft Outlook」「Windows Live Mail」「Mozilla Thunderbird」などの設定情報を読み出し可能です。

もちろん、このツールは「パスワードを忘れた」ときに使うものです。
ですが、こうも簡単に読み出せるとなると少し不安になってきます。このツールを他人のパソコンまで持ってきて実行されたら・・・なんてことを考えたら本当怖いですね。

これら情報は、メールソフトを「メールすることができる状態」にまで設定可能にする情報です。無断でメールアドレスを使われたらひとたまりもありません。

このように、メールアカウントのパスワードは何の知識も無しに表示可能なほど暗号化がされていないのです。
特に「Gmailアカウント」と「メールアドレス / パスワード」は基本一緒になるので、これら情報が漏れると自分が利用しているサービスを勝手に使われる可能性もあるのです。

あまり信用のない人にパソコンを貸し付けない方がよいというのは、以上のように簡単に分かるパスワードを抜き取られる可能性があるからなのです。このようなツールが世の中にはあることを知っておきましょう。

Internet Explorerに保存されたユーザーIDやパスワードの解析

別の記事で書いたのですが、Internet Explorerを含む各Webブラウザには「オートコンプリート【Autocomplete】」という機能が備わっています。以下、詳細記事です。

検索窓やショッピングサイトの認証機能などに入力すると、過去に入力されたワードが予測表示されることがあります。
このように、過去に入力したURLやユーザーID、パスワードなどの情報を記憶して自動で予測ワードを検索、表示し入力の手間を省かせる機能のことを「オートコンプリート機能」といいます。

便利な機能なのですが、これら情報もブラウザ上に保存されるので読み出そうと思えば簡単に呼び出せます。
先ほどの「Mail PassView」と同じ会社が作っている「IE PassView」にてやってみましょう。

※因みに他のブラウザに保存されている情報を解析したい場合は同社の「WebBrowserPassView」で可能です。

解析結果

こちらも一緒でIE PassViewを起動すれば瞬時に読み込まれます。

以上の画像では「登録されているサイト」と「ユーザーID」「パスワード」がしっかり表示されてしまいました。
これが通販サイトの情報だったら洒落になりません。勝手に買い物されてしまったらそれこそ金銭被害です。

このツールを自分のパソコンへ使われなければいいのですが、何せフリー(無料)で提供されしかも軽いので私のような素人でも使うことができてしまいます。

「自分しかこのパソコンは使わない」というのが一番の対策ですが、中々そうもいかないので数人で同じパソコンを使用する場合はオートコンプリートのデータを定期的に削除するか、機能を停止して保存させないようにするのがよいでしょう。

停止方法は先ほど張ったリンク先の記事にて解説しています。

まとめ

以上、「ZIPパスワード」と「メールアカウント」「オートコンプリートデータ」を解析してみましたが、いかがでしたか。

パスワードというのは以外にも簡単にわかるものなのです。

「パスワードをかけておけば大丈夫」と思っていた方は結構ショックだったのではないでしょうか。
「対象のパソコンを操作できる状態である」という前提が必要ですが、それさえクリアできればメールアカウントからWebサービスのアカウントまであらゆる情報が意外にも簡単に表示できてしますのです。

これらを防ぐには、強固なパスワードを設定するだけでは足りません。信用できない人にはパソコンを貸さない、触らせないというアナログ的な対策も必要になるのです。共用のパソコンならば、できるだけアカウント情報を入力しないような対策も必要です。

個人のパソコンならばここまで神経質になる必要はないかもしれませんが、大人数で使用する場合は要注意です。
専用の無料ツールが出回っている以上、特に専門知識が無くとも悪意があればだれでも解析可能な時代なのです。

今回の記事は少し怖い内容・書き方にしましたが、それは「パスワードをかけておけば大丈夫。そうそう簡単に破られない」という意識を壊すためです。こういったことを知らなければどうしても対策がいい加減になってしまうからです。

大事な情報が、自分の思っている以上に簡単に取り出せることを知らない。それが一番の脅威なのです。
この記事で、さらにセキュリティ意識が高くなってくだされば幸いです。

最後に

「パスワードは意外にも簡単にわかるもの」ということを強調するため、今回使用したツールはどうしても悪者扱いになってしまいましたが、このようなツールも扱いを間違えなければとても便利なツールで開発者もそれを望んでいます。

「このツールを使っている=悪者」ということでは決してないので、ここのところを最後に捕捉しておきます。