まだ送る?パスワードzipファイルの配布プロセスとzip解析

zip添付ファイル送付セキュリティ
Markus WinklerによるPixabayからの画像

※この記事にはプロモーションが含まれています。

リモートワークが本格的に普及し始めました。
これまで、隣の同僚にファイルをUSBメモリなどで受け渡ししていた方はどの様な手段を取っているのでしょう。
今回は、このzipファイルの送付形式について記載します。

スポンサーリンク
スポンサーリンク

はじめに

リモートワークではファイルの物理的な受け渡しは難しく、遠く離れた同僚に送ることになるため、情報漏洩抑止のための社内の規定プロセスに従う必要が出てきます。
そこで、zipファイルにパスワードをつけてメール添付している人も、まだ少なからず存在しているのではないかと思います。
下記、いくつかの例を踏まえて、プロセスを見直すきっかけになればと思います。

パスワード付きzipファイルの配布について

やり取りはこんな感じです。

  1. Aさん「資料をパスワード付きzipにして、メール添付しました。パスワードは別途送付します。」
  2. Aさん「パスワードを送付しました。確認ください。」
  3. Bさん「ありがとうございます。解除できました。」

一応暗号化している、および別メールで誤送信対策もしているという建前から普及したようですが、ざっと思い付きでも下記問題があると感じています。

  • メール送付プロセスをシステム化している場合、同じメールアドレスに送信されてしまう。そもそも盗聴されていれば2通とも犯人は入手していることになる。
  • パスワードによりウイルス検知にヒットしない。
  • 手間がかかり、送受信者双方の運用効率を下げる。
  • パスワードによっては、解析され易い。

この手段ができた当初に比べて格段に技術も進歩しており、何の疑いもなく運用している場合、真の目的である本当に安全かを、リモートワーク普及により、他の様々なプロセスと同じく見直す良い機会だと思います。

zipファイルのパスワード解析例

zipファイルのパスワード解析にどの程度時間を要するのか実験するため、Windows上でのzipファイルのパスワード設定方法と、パスワード解析の試行を説明します。

パスワード付きzipファイルを作成する

7-zipを使って暗号化します。
ファイルを右クリックしてメニュー7-Zip圧縮を選択し、形式:zipと暗号化パスワード(ZipCrypt方式)を設定します。
設定するパスワードは、某有名ドラマ内で高度セキュリティシステムアクセス用に設定していたzansinとしました。

zipファイルのパスワードを解析する

パスワードの解析は、ツールLhaplusのZIPパスワード探索機能による、総当たりで実験します。
ドラマではパスワードが6桁を知っているようでしたが、このツールでは設定できないので、英字小文字を認識している前提で、設定してみました。
利用したマシンスペックは、Core i5 9400F(2.4GHz)です。

解析時間は、この普及マシンスペックで10分程度でした。
ハイスペックなCPUやGPU搭載とGPU対応解析ツールを用いれば、もっと短縮できるでしょう。

まとめ

別便メールで送付すれば誤送信しても大丈夫というのは、情報セキュリティが叫ばれ始めた時代に、安全ですよアピールのために捻り出したロジックだと考えています。
上記の通り、zipにパスワードをつけてのやり取りには、少なくとも以下の検討の余地が残されています。

  • 2通のメールに分割しても、2通とも盗聴されていれば意味がない。
  • パスワードにより、社内進入時のウイルス対策をすり抜ける可能性がある。
  • パスワードによっては、容易に解析される。

リモートワークが浸透する中で、まだこのメール添付プロセスを利用している方は下記のような方法への移行を検討されてはいかがでしょうか?

  • アクセスコントロールを考慮した、クラウドストレージによるファイル共有運用
  • Microsoft Teams等コミュニケーションツールでの経路が限定および保障された共有

導入コストや運用を考えると、この辺りが妥当な解ではないかと思われます。
クラウドサービスは多数リリースされていますので、社内のみとかどの程度外部の人が関わるか等の運用面を考慮して選択すればよいでしょう。

GPUでZipパスワード解析!当然爆速では、より高速なzipファイルパスワード攻略方法について紹介しています。

以上、パスワードzipファイルの送信方法についての考察でした。

コメント