暗号化ZIPはパスワードを別経路で知らせれば安全なのか？

　企業間でファイルをやり取りする場合に、ZIPファイルにパスワードを付けて暗号化し、電子メールに添付するという方式がよく使われています。この時、パスワードを同じメールに記載したり、別のメールで送信したりすることについては情報漏えい対策としての意味がないのではないかという疑問の声が投げかけられており、IPAが公開している「5分でできる！情報セキュリティ自社診断」では「パスワードは電話等の別手段で知らせる」、としています。

　では、パスワードを電話等の別経路で知らせれば暗号化ZIPは安全と言えるのでしょうか？今回は、暗号化ZIPの安全性について考えてみたいと思います。

　取り上げる問題は、「暗号強度の問題」「ファイル名が暗号化されない問題」「既知平文攻撃の脆弱性の問題」「Windows環境においてZoneIDが欠落してしまう問題」の4つです。

暗号強度の問題

　ZIPで通常使われる暗号方式は「Traditional PKWARE Encryption」（ZipCryptoとも呼ばれる。以下ZipCrypto）という独自の方式です。ZIPにはAES 256bitなどより強力な暗号方式もあるのですが、Windows標準のエクスプローラー（圧縮フォルダー）で復号できなかったり、圧縮・解凍ソフトによりフォーマットが異なり復号できない場合があったりすることから、企業間でファイルをやり取りする場合には互換性の高いZipCryptoが使われることが殆どです。

　ZipCryptoがオリジナルのPKZIPに実装されたのは1993年で、今から25年も前のことです。当時のコンピュータの処理性能では短いパスワードでも安全だったとしても、処理性能が格段に向上した現在では安全とは言えなくなっています。

　パスワード解析ソフトとして有名なJohn the Ripper において、ZIP (ZipCrypto) 、Acrobat X (PDF 1.7 Level 8)、MS Office 2010、MS Office 2013、それぞれの暗号化フォーマットについて、1秒間に何個のパスワードを解析できるかを比較した結果が以下のものです。解析に使用したPCのCPUは第4世代CoreプロセッサーのCore i7 4790で、現在では決して高速と言えるスペックではありませんが、誰でも一般的に入手可能なPCでどれくらいの速度で解析できるかを見ていただければと思います。

　1秒間に解析できる回数が多いほど、高速に解析ができる、つまり強度の弱い方式となります。この結果を見るとZipCryptoはMS Office 2013に比べ約40万倍高速に解析ができることになります。

　パスワードの解析には、辞書に載っている単語や人名などの固有名詞など、パスワードとしてよく使われる単語の辞書を使って解析を行う「辞書攻撃」、文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」などがありますが、ここでは… 続きを読む