こんにちは、noダーマです。
みなさんは『圧縮ファイル』というものはご存知でしょうか。
その言葉に馴染みはなくとも『zipファイル』と聞けばピンとくる方もいるでしょう。
圧縮ファイルとはその名の通り、あるデータをデータ量を減らした別の形式に変換(圧縮)したファイルのことを指します。
例えばファイルを移動・転送したり、メールなどに添付するといった場合、当然ながらデータ量が大きければ大きいほど処理が完了するまでに時間が掛かります。
それ以外にも、ハードディスクやクラウド上にあるファイル数が増えてくると、次第に空き容量が減ってきますよね。
そんな時のために、転送完了までの時間を短くしたり、データの使用量を減らすことができるのがデータ圧縮の大きな利点です。
またファイルを圧縮する際にパスワードを設定することができ、解凍(元に戻す)の際にはパスワード認証が必要になるといったこともできるのですが、実はこのパスワードは意外と突破されやすいのです。
今回は圧縮ファイルのパスワードが突破されやすい理由と、その対策について解説します。
目次
なぜ圧縮ファイルのパスワードは突破されやすい?
例えばウェブサービスのログイン認証や、スマートフォンのロック解除などにおいて、連続で認証に失敗すると、一定時間が経過するまで認証が行えなかったり、アカウント自体がロックされるといったことがあります。
これは後述する「総当たり」などの手法によって認証を突破されてしまうのを防ぐためのもので、理論上の数字以上に突破には時間が掛かることになります。
しかし圧縮ファイルの認証の場合、連続で認証に失敗してもそれを抑止するための機能がありません。
つまり何度失敗してもリトライし放題であるということです。
ゲーム風に例えるなら、コンティニュー無限かつ経験値そのままといった感じですね。
これが圧縮ファイルのパスワードが突破されやすい理由です。
またパスワード解析に使用するコンピュータの性能にもよりますが、8文字以下のパスワードはその組み合わせ次第で早くて数秒、長くても数日あれば解析が可能であることがわかっています。
パスワードを突破する手法の例
パスワード解析に用いられる手法のうち、特に用いられることが多い手法を2つご紹介します。
総当たり攻撃
パスワードに使用可能な文字で想定されるすべての組み合わせを試す手法で、ブルートフォース攻撃とも呼ばれます。
辞書攻撃
例えば生年月日やそれ自体に意味がある言葉など、パスワードでありがちなパターンの中から認証を試していく手法です。
これらの2つの手法は併用されることが多く、まずはよくあるパターンから試していき、いずれも合致しなかった場合は総当たりに移行するというのがよくあるパターンです。
解析されないための対策
たとえ総当たり攻撃を受けたとしても、ユーザーが適切な対処を行っていれば解析されるのを防ぐことは可能です。
ここからは圧縮ファイルのパスワードを解析されないための対策について解説していきます。
パスワードを長く複雑にする
前述した通り8文字以下のパスワードでは数日以内のうちに解析されてしまいます。
特に数字だけ・小文字アルファベットだけなどの単純なものの場合、ほんの数秒で突破が可能だといいます。
そのためパスワードは長く複雑なものを設定してください。
具体的には、12文字以上かつ小文字・大文字・数字・記号すべてを使用することです。
このようにしておくこと、仮に総当たり攻撃を受けたとしても、攻撃側は一生かかっても解析が終わりません。
使用するパスワードは毎回変える
扱うのが人間である以上、誤送信など小さなミスからパスワードが漏れてしまう可能性があります。
もしすべてのパスワードに同じものを使用していた場合、どれだけ複雑にしていたとしても丸裸も同然です。
そういった事態を防ぐためにも、使用するパスワードは毎回変えることをオススメします。
あとがき
近年はセキュリティ意識の向上により、他者にデータを共有する際には、パスワードが設定可能なストレージサービスにアップロードするという方法が広まりつつあります。
もともとの用途はデータ容量の圧縮であるため、圧縮ファイルの技術が廃れることはないと思いますが、技術の移り変わりは年々加速しているとも感じる今日この頃。
それではまた次回お会いしましょう。
