ブルートフォースアタックと辞書解析。ZIP暗証番号の解析

総当りでパスワード(暗証番号)を解読するためには、「半角英数62文字」の解析に「9分48秒」の時間が掛かることを説明しました(1秒間の計算数が「1億パターン」の場合)。


この「総当り」とは、もちろん「総当り攻撃」、別名「ブルートフォースアタック(brute force attack)」と呼ばれているものです。

総当り以外にも、ZIPファイルの暗証番号を解読する方法はあります。例えば、辞書解析という解読方法。

ZIPファイルの暗号をクラックしてパスワードを割り出すための「解析手段」を簡単に紹介します。


パスワードクラックの種類


ブルートフォースアタック : brute force attack

「brute」は、「けだもののような」「暴力的な」「人でなし」等のニュアンスを持った英単語です。つまり「brute force」で「粗暴な(暴力的な)力」ということです。言葉の意味どおり、「最初のパターン」から「最後のパターン」まで強引に(暴力的な手段で)解析する、というのが「ブルートフォースアタック(総当り攻撃)」なのです。

例えば、「0」から「9」のみの6桁のパスワードであれば、ブルートフォースで「000000」から「999999」まで全てのパスワードを全て解析することになります。全てのパターンを虱潰しに余すところなく調べるからこそ他の暗号解析アルゴリズムに比べて解析に時間が掛かってしまうわけです。


辞書解析でZIPファイルの暗証番号(パスワード)を解読


「辞書解析」は「辞書攻撃」等と呼称される場合もあります。辞書解析によるパスワード解読のアルゴリズムには、よく人間が利用する特定の単語・キーワード(例えば、「abc」「sea」「cat」等)や数字(「12345・・・」等)、最初から調べるパスワード・暗証番号を事前に絞り込んだ上で単語の組み合わせを解析していく手法です。


計算するパターンが事前に絞られていることから、ZIPファイル等のパスワードや暗証番号を割り出すための「総計算量」は「総当り攻撃」に比べて少なくなります。当然のことながら、パスワードの解析時間も「ブルートフォース」に比べてより少ないものとなるのです。



安直・安易なパスワードほど危険度(セキュリティリスク)が高まる


安直な単語、キーワードをZIPファイルのパスワードとして利用していませんか?例えば、猫が好きな人は「cat」という単語を、リンゴが大好物の人であれば「apple」という単語をパスワードとして利用している可能性がありますよね。

その他、定番なのが「生年月日」や「名前」に由来するもの。例えば、「7月17日生まれ」の人であれば「0717」という数字のパターンを暗証番号に使っている可能性が考えられます。


こういった「安直・安易なパターン・単語・数字」のベスト25がデータとして公開されています。



最新版 一番危険なパスワード2年連続で「123456」 2014年の最もダメなパスワードトップ25

zippassword.net.150421.1




このデータは、「SplashData」という名前の外国の企業が2014年に公開した最もセキュリティリスクの高い「アウト」なパスワードとして公開されたものです。トップ3が「123456」「password」「12345」です。これは2年連続不動の座を獲得しているワーストパスワードといえます。


24位に「batman」等の単語が見えます。また、「dragon」(9位)、「baseball」(8位)等もあります。この結果は、国柄がよく表されている結果といえるでしょう。

如何でしょうか?心当たりのある方はZIPファイルに暗証番号を設定する際に、一度パスワードの掛け方を考え直してみてはどうでしょう?

他人に重要な会議資料や会社の機密データが盗まれるというリスク。ある程度の時間さえ掛けてしまえば、辞書攻撃やブルートフォースアタックなどの暗号解析アルゴリズムでZIPファイルのパスワード等は簡単に解読されてしまうのです。それを思えば、「たかがZIPファイルの暗号化」などと軽んじることはできないはずです。


ZIPパス解析部に戻る