尼崎市民の個人情報が入ったUSBを紛失=パスワードは最短1秒で解読可能
尼崎市民46万人の個人情報が入ったUSBメモリーを担当者が紛失する事件が発生。USBメモリーにはパスワードがかかっていたが…IT技術の目線からデータ漏洩の可能性を紹介。
尼崎市民46万人のデータを紛失
「兵庫県尼崎市は23日、全市民約46万人の個人情報が入ったUSBメモリーを紛失したと発表した。」ことを共同通信が発表。(出典:兵庫県尼崎市が全市民の情報入りUSB紛失)
現段階では情報の漏洩は確認されていないとしており、尼崎市側曰く「データの入ったUSBはパスワードがかかっている」とのこと。
しかし、同記者会見にてパスワードの桁数と文字種別を会見担当者が発言。ここでパスワード解析リスクについて論じる。
桁数次第でパスワードは1秒で解読
万一、USBメモリーを紛失した理由が悪意のある他者からの盗難であるとするなら「パスワード解読・解析」のリスクを考慮しなければならない。
以下の表はブルートフォース攻撃を行った際、文字数・文字種類ごとに解読までにどのくらいの時間を要するかを示した表である。
※ブルートフォース攻撃…別名総当たり攻撃。
| 文字数 | 数字 | 小文字 | 小文字+大文字 | a+A+数字 | a+A+0+記号 |
| 4・5 | 1秒未満 | ||||
| 6 | 1秒未満 | 1秒未満 | 1秒未満 | 1秒 | 5秒 |
| 7 | 1秒未満 | 1秒未満 | 25秒 | 1分 | 6分 |
| 8 | 1秒未満 | 5秒 | 22分 | 1時間 | 8時間 |
| 9 | 1秒未満 | 2分 | 19時間 | 3日 | 3週間 |
| 10 | 1秒未満 | 1時間 | 1ヶ月 | 7ヶ月 | 5年 |
| 11 | 2秒 | 1日 | 5年 | 41年 | 400年 |
| 12 | 25秒 | 3週間 | 300年 | 2,000年 | 34,000年 |
データソース: Reddit post by dataisbeautiful (Original Contents of user/hivesystems)
検証GPUはRTX2080Ti
上記表・データソースからも分かる通り、パスワード解読されないようにするためには文字数と文字種類の両方を増やすことが重要であることがわかる。
紹介した本データは2年前にRTX2080Ti上でテストされた結果であり、2022年現在のハイパフォーマンスGPU・RTX3090などを枚数を増やして駆使すればさらに解読は容易になるだろう。
実際はもっと解読は容易
しかし、実際のところブルートフォース攻撃だけを使って地道に総当り式で解析することはあまりなく、よく使われるパスフレーズと関連付けてより高速に解読ができるとRedditユーザーのIamfromSpace氏は投稿している。
クラッカーは、ただランダムに試すのではなく、辞書に基づいた賢いアプローチをとります。彼らはただランダムに組み合わせを推測するのではなく、パスワードダンプから構築された教育された推測をします。
“Pa$$word12345 “をブルートフォースするには200万年かかるかもしれないが、それは即座に破壊されるだろう。
つまり、「pasuwa-do」や「p@ssword」・「1111111」のようなよく使われる辞書をベースとした解析を行うと例え、文字種類が多かろうと文字数が多かろうと関係なく速攻解読されるリスクが孕むということだ。
対策としては、一般のウェブサービスの場合は2段階認証などを講じると簡単かつ安全なアカウント運用ができるがUSBメモリーなどの記憶媒体の場合は「パスワードをn回間違えると、データを消去・初期化」のような時限爆弾方式が効果的ではないだろう。
しかし市側の「データは暗号化してパスワードをかけている」という発言に対し、著者は「USBロック」がどのような種類のものかが判別出来ないのも懸念点だと思っている。
一般にパスワード付きUSBとはバッファロー社やエレコム社が高信頼USBと謳って、AESで暗号化といった場合の製品を指し、そのような製品は前述の初期化機能を搭載している物も多い。
だが、WinRARのような圧縮解凍ソフトで単にファイルをパスワード付きZIP・RARにしただけの場合や、単なるフリーソフトで暗号化した場合でも「USBにパスワードをかけた」と表現できる。それらは個人用途を目的としたパスワードリセット制限のかからないものも多く存在するため、十分なセキュリティとは言えないだろう。(15時29分追記)
尼崎市の個人情報に関する担当者がランダムな数字・英語大文字小文字・記号のパスワードを指定し、なおかつ「p@ssword」のようなすぐ解読できるキーフレーズを用いていないという限定的な場合において「パスワードの解析は難しい」といえる。
しかし、前述の通り「担当者がパスワード文字長と文字種別」を会見で述べたことにより更に解析リスクが格段と高まっている。最悪の場合、「今後の再発防止に尽力する」だけでは済まない問題に発展しかねない。
Cover Image by Brina Blum on Unsplash
