会社で多く使用される「PPAP」に深刻なセキュリティーリスクが判明 ヤバすぎるから今すぐに使うのやめろ!

1 : 2021/06/23(水) 16:22:58.53 ID:JZst8CJ4M


6桁の英字パスワードなら家庭用PCでも1秒で解読。PPAPに警鐘

若杉 紀彦

2021年6月23日 12:25

 情報セキュリティメーカーのデジタルアーツ株式会社は23日、ZIPファイルのパスワードに関する分析レポートを公開。Core i5を搭載した一般家庭向けPCでも、6桁の英字パスワードなら1秒で解読できることから、多くの企業・団体で用いられている、機密情報をパスワード付きZIPファイルで運用する「PPAP」(Password付きZIPファイルを送ります、Passwordを送ります、Angoka Protocol)手法に警鐘を鳴らしている。
 ZIPファイルにかけたパスワードは、多くのログインパスワードと違い、何度でも入力試行できる。そのため、PCを使って総当たりで解読できる。今回、デジタルアーツでは、5年前に購入したCore i5、メモリ32GB、SSD 500GB、GeForce GTX 1070というスペックの市販PCを用いて、ZIPファイルパスワードの総当たり解読を行なったところ、6桁の英字、および8桁の数字のみのパスワードは1秒未満で解読できた。

 英字6桁の組み合わせは約3億通りあるが、今回同社が用いた解読ツールとPCの組み合わせでは、パスワード探索する速度が約10億回/秒に達しており、8桁の英小文字+数字の組み合わせでも2分13秒という現実的な時間で解読できた。

 そもそもPPAP手法には、ZIPファイルとパスワードをメールで別に送受信するなどの手間があったり、そもそも攻撃者がZIPファイルを入手できるなら、パスワードが記されたメールも入手される可能性が高いといった批判も多いが、各種ログインパスワードなども含め、短い英字だけのような安直なものは避けるよう日頃から心がけたい。

レス1番の画像サムネイル
レス1番の画像サムネイル
レス1番の画像サムネイル
https://pc.watch.impress.co.jp/docs/news/1333/357/amp.index.html?__twitter_impression=true

2 : 2021/06/23(水) 16:23:32.80 ID:JZst8CJ4M
これもうやってる感でしかないだろ…
3 : 2021/06/23(水) 16:24:01.63 ID:0RGxg/M80
ペンパイナポーアッポーペン
4 : 2021/06/23(水) 16:25:21.78 ID:cOyB0LvuM
虚構か?
5 : 2021/06/23(水) 16:25:34.38 ID:Uqq2BTKGa
もう時代遅れだよ
11 : 2021/06/23(水) 16:27:09.50 ID:T/SWk8lgd
>>5
IT音痴は有り難がってまだまだ使ってるからな
6 : 2021/06/23(水) 16:25:41.39 ID:Ghoy0Dsb0
わんわん
7 : 2021/06/23(水) 16:26:20.33 ID:hW/9juJs0
ナポー
8 : 2021/06/23(水) 16:26:28.51 ID:6jUYe4xy0
ぅンッ!
9 : 2021/06/23(水) 16:26:40.98 ID:F17M7lKa0
あっぽーぺーん
10 : 2021/06/23(水) 16:26:43.77 ID:W4ROPyRnp
>>「PPAP」(Password付きZIPファイルを送ります、Passwordを送ります、Angoka Protocol)手法に警鐘を鳴らして
何この造語
12 : 2021/06/23(水) 16:27:11.82 ID:iT/gzDBf0
一般人にPGPを使わせるのは無理
13 : 2021/06/23(水) 16:27:44.53 ID:8wopu0Mg0
パスワード付きzipだとメールサーバーのウイルスチェックスルーできるからメジャーな侵入手段になってるんだよな
害悪しかない
14 : 2021/06/23(水) 16:27:48.97 ID:n77acd8J0
マジかよピコ太郎最低だな
15 : 2021/06/23(水) 16:28:04.25 ID:sOAh99qG0
昔pikazipってあったよな
16 : 2021/06/23(水) 16:28:26.57 ID:t2VhE9JW0
クソみたいな略語
17 : 2021/06/23(水) 16:28:26.83 ID:rwXZU6EQr
これ半年前にも同じソース見た気がするんだがタイムマシンでないから困惑してる
18 : 2021/06/23(水) 16:28:50.13 ID:nVOUyxKy0
パン
パン
あん💗
パン
19 : 2021/06/23(水) 16:29:05.56 ID:9l9X4cws0
This is a pen.
20 : 2021/06/23(水) 16:29:24.01 ID:VMjRVcJ20
1070いらないだろ
21 : 2021/06/23(水) 16:30:09.45 ID:9HElwBNV0
Flashの話かと思ったわ
22 : 2021/06/23(水) 16:30:51.37 ID:rm35nxCS0
Password付きZIPファイルを送ります ← なるほど
Passwordを送ります ← わかる
Angoka Protocol ← ・・・?
26 : 2021/06/23(水) 16:32:18.69 ID:sr0EIYzo0
>>22
PPAPってプロトコル名っぽいですよね
って会話から生まれた用語だから多少強引なのは仕方ない
23 : 2021/06/23(水) 16:31:27.84 ID:U3MnBmM30
ペンパイナッポーアッポーペンシル
25 : 2021/06/23(水) 16:31:32.93 ID:3QHFiguDM
さすがに消えたなと思ったらラ王のCMに出てて驚いた
27 : 2021/06/23(水) 16:32:26.41 ID:thX4lXe20
総当たりできるパスワード設定とか今時使う意味ないからやめてほしいわな
28 : 2021/06/23(水) 16:32:55.28 ID:NDxroufI0
ピコ太郎?w
29 : 2021/06/23(水) 16:33:00.92 ID:ysOYzEhxF
オーン!ペンパイナッポーアッポーペン
30 : 2021/06/23(水) 16:33:12.97 ID:in72Oj47M
しかしいろんな客先とファイル共有方法作るのはなかなかめんどい
33 : 2021/06/23(水) 16:34:37.66 ID:nq7EhF0Wa
>>30
ftpサーバーにユーザー発行すればええやろ
31 : 2021/06/23(水) 16:34:14.98 ID:9HElwBNV0
未だに電子メール使ってるジャップ企業www
32 : 2021/06/23(水) 16:34:29.83 ID:FBE2aSu10
いい加減ファイル共有をメーラーに標準装備してくれよ、それはそれで悪用されるのかも知らんが
34 : 2021/06/23(水) 16:34:50.44 ID:ok7HvKTN0
zipのパスは漢字も入れられるんだよね
中国と日本人のzipはかなり強固にできる
36 : 2021/06/23(水) 16:37:55.81 ID:9HElwBNV0
>>34
んなもん暗号化プロトコルとその実装のバリエーションによるわ
あとオリジナルzip暗号の脆弱性を知らんのか
35 : 2021/06/23(水) 16:34:52.17 ID:jbgNF/HUM
久々に聴いたなピコ太郎
37 : 2021/06/23(水) 16:38:49.38 ID:EPAtx4RT0
ローカルで総当たりができる状況ならパスワードなしと同じだよ
38 : 2021/06/23(水) 16:39:33.18 ID:8rMtKLYXp
ピコ太郎も大魔王もなかなかしぶとい
39 : 2021/06/23(水) 16:40:09.15 ID:9HElwBNV0
・中間詐取されない
・宛先間違いを防ぐ
・オリジナル(未改竄)である保証

ジャップは宛先間違いばかりに重点をおきやすい

40 : 2021/06/23(水) 16:40:37.36 ID:VaKIHNthd
これだけだと長くしてAES256にすりゃいいって話に落ち着くだけじゃん
この手の話は毎回よく分からん
スマホで不便だというのは分かるけど
41 : 2021/06/23(水) 16:44:21.13 ID:4PntBPok0
未だにPPAPやってたとこがようやくBOXに切り替わった。
42 : 2021/06/23(水) 16:45:20.07 ID:UoF59W7K0
共通鍵zipだわ
ちなみに5年くらいパスワード変わってない

コメント

タイトルとURLをコピーしました