2018年12月10日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣
第9回 ハッカーの視点で見る「パスワードは次のメールで」
SNSやファイル共有サービスなどが流行っていると言っても、まだまだビジネスの世界のコミュニケーションではメールを欠かすことができません。重要なデータも添付ファイルで送信することもしばしばあります。そして、そのファイルが漏えいしないように、ZIPで圧縮する際にパスワードを付けたり、PDFやOfficeファイルにパスワードを付けて送ることでしょう。
その際のパスワードはどうやって相手に伝えているかと言えば、私が知る限りはほとんどの場合「パスワードは別途送信します」と書かれて次のメールで送られてきます。この方法で本当にファイルは守られているのでしょうか。
この方法の是非は多くの記事で語り尽くされていますが、ハッカーの視点から考えてみるとどうでしょうか。
ハッカーは如何にしてメールを盗むのか
筆者の会社でペネトレーションテストを実施する際には、調査対象である従業員のメールを読むこともあります。メールは重要な情報の宝庫なのです。メールはどうやって読むのでしょうか。読む方法は主に下記の2つです。
・侵入したクライアントPC上のメールソフトのデータを検索
・入手した従業員のアカウントを使用してクラウド上のメールサービスのデータを検索
当然ですが上記の方法でメールの添付ファイルを見つけた場合は、次のメールのパスワードが記載されたものも見つかります。Gmailなどのメールサービスは特に便利で、優秀な検索機能のお陰で仕事が捗ります。
上記の方法以外にもネットワーク経路上の盗聴やメールサーバーからの奪取も考えられますが、実際には上記の方法がほとんどです。恐らく本物の攻撃者も同様であると考えられます。
攻撃者がメールを盗み読むのを防ぐのであれば、クライアントPCに侵入されにくいように最新のOSとアプリケーション、アップデートの適用、セキュリティソフトの稼働が最低限必要です。そしてアカウントが盗まれることを防ぐために、長い文字列など解析されにくいパスワードを使い、OTP(One Time Password)などの複数要素認証を併用することが必要です。
特にクラウド上のメールサービスなどは複数要素認証やログインアラートを設定することで、他人がアカウントを使うことを防いだり、検知できる可能性が高まります。
原則は「パスワードは別経路」だけど…
暗号化したメッセージとパスワードを同じ経路で送らないというのは、昔からの原則です。同じ経路で送れば同時に盗まれてしまうので、別経路にしようということです。しかし、現代ではパスワード、昔は物理的な「鍵」をどうやって安全に相手に渡すかという問題はなかなか解決できませんでした。また、もし絶対に安全な経路が存在するとして、それを使って鍵が送れるのであれば、その経路で元のメッセージを送れば安全であるという矛盾も起きます。
この問題は公開鍵暗号や鍵交換アルゴリズムで解決されています。それならば、その方法を使って先の添付ファイルの問題は解決できるわけですが、残念ながら公開鍵暗号を使ったPGPやS/MIMEという仕組みは普及しているとは言えません。PGPにしてもS/MIMEにしても、ソフトウェアの追加などが必要になってきます。また、メールは相手がいることですので、送信した相手がPGPを使っていなかったり、PGPなどに対する理解がないとしたら利用することができません。
そのため、残念ながら今の仕組みのままで他にできることがないので、誰しもが使える既存のメールシステムを使うしかなく、次のメールでパスワードを送るという気休め程度のセキュリティ対策となってしまうのです。
もし、何らかの方法や別経路でパスワード文字列が送れたとしましょう。しかし、それだけでは安全とは言えません。攻撃者はそのファイルをどうしても読みたいという場合にはパスワードの解析を試みます。
パスワードの解析には時間が掛かると思われていますが、昔ながらのZIPファイルの暗号化機能は弱く、比較的早く解析が可能です。例えば、英大小文字+数字で8桁であればGPUなどを使えば、1日以内に解析できることもあります。
これらから守るためには、ZIPファイルを暗号化する際には256bitAESを使い、長いパスワード文字列を付けるなどの対策が必要になります。
余談ですが、このパスワードを次のメールで送るという文化は、日本独特のモノのようです。海外の人からのメールでこういう方法を見たことがありませんし、海外のセキュリティコミュニティの人に話すと確実に笑いが取れる鉄板ネタです。
じゃあ、その人たちはどうしているのかというと、重要なファイルでも添付ファイルを暗号化することはあまりないようです。日本ほどメールの添付ファイルのセキュリティに気を遣わない人たちが多いという印象もあります。ファイル共有サービスを利用しているのも見かけますが、それを使えるかどうかという問題は日本でも海外でも変わらないことです。
この問題が簡単に解決できるようになれば、インターネットがもう1つ安心安全なものになるかもしれませんね。
