デジタルアーツ、ZIPファイルのパスワードに関する分析レポートを公開

　情報セキュリティメーカーのデジタルアーツ株式会社（本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード 2326）は、PPAP（パスワード付きZIPでのファイル運用）などで使われるZIPファイルのパスワードに関する分析レポートを公開したことを発表いたします。

　メールでZIP暗号化ファイルを送信し、後からパスワードをメールで別送する方法（PPAP）は、多くの日本企業・団体で採用されています。昨今さまざまなインシデントリスクが指摘されていますが、今回はパスワードのリスクについて分析します。パスワードは主に「PINコード」、「ログインパスワード」、「暗号キー」の3種類あります。スマートフォンのロック解除や銀行のキャッシュカードで使われる「PINコード」、ウェブサービスのログインに使われるIDとセットで入力する「ログインパスワード」です。このうち、「PINコード」と「ログインパスワード」は入力回数に制限がかけられるパスワードですが、ZIPファイルの暗号化などに使われる「暗号キー」はパスワード入力を何度でも試すことができるという特徴があります。

■パスワード入力を何度でも試すことができるZIPファイルのパスワードを解読する

　ZIPファイルのパスワードはどれくらいの時間で解読できるか、一般購入可能なパソコン、オープンソースで誰でも入手できるパスワード回復のソフトウェアを利用して試してみたところ、サンプルで設定した「zansin」という英語小文字6ケタのパスワードは1秒未満で解読することができました。

　英小文字で6ケタの組み合わせは約3.1億（26の6乗）通りですが、本テストではパスワード探索する速度は約10億回/秒を記録しています。ほかにも数字のみ12ケタと若干多めのケタ数であってもわずか2分51秒で解読が可能でした。「日付や日時の数字をZIPファイルのパスワード」として設定・運用している組織が少なからずあるのではないでしょうか。