【特集】新製品レビューから独占取材まで!
オタクに捧ぐ公式Twitter、始動(告知バナー)

尼崎市民の個人情報が入ったUSBを紛失=パスワードは最短1秒で解読可能

尼崎市民46万人の個人情報が入ったUSBメモリーを担当者が紛失する事件が発生。USBメモリーにはパスワードがかかっていたが…IT技術の目線からデータ漏洩の可能性を紹介。

尼崎市民46万人のデータを紛失

「兵庫県尼崎市は23日、全市民約46万人の個人情報が入ったUSBメモリーを紛失したと発表した。」ことを共同通信が発表。(出典:兵庫県尼崎市が全市民の情報入りUSB紛失)

現段階では情報の漏洩は確認されていないとしており、尼崎市側曰く「データの入ったUSBはパスワードがかかっている」とのこと。

しかし、同記者会見にてパスワードの桁数と文字種別を会見担当者が発言。ここでパスワード解析リスクについて論じる。

桁数次第でパスワードは1秒で解読

万一、USBメモリーを紛失した理由が悪意のある他者からの盗難であるとするなら「パスワード解読・解析」のリスクを考慮しなければならない。

以下の表はブルートフォース攻撃を行った際、文字数・文字種類ごとに解読までにどのくらいの時間を要するかを示した表である。
※ブルートフォース攻撃…別名総当たり攻撃。

文字数数字小文字小文字+大文字a+A+数字a+A+0+記号
4・51秒未満
61秒未満1秒未満1秒未満1秒5秒
71秒未満1秒未満25秒1分6分
81秒未満5秒22分1時間8時間
91秒未満2分19時間3日3週間
101秒未満1時間1ヶ月7ヶ月5年
112秒1日5年41年400年
1225秒3週間300年2,000年34,000年

データソース: Reddit post by dataisbeautiful (Original Contents of user/hivesystems)
検証GPUはRTX2080Ti

上記表・データソースからも分かる通り、パスワード解読されないようにするためには文字数と文字種類の両方を増やすことが重要であることがわかる。

紹介した本データは2年前にRTX2080Ti上でテストされた結果であり、2022年現在のハイパフォーマンスGPU・RTX3090などを枚数を増やして駆使すればさらに解読は容易になるだろう。

実際はもっと解読は容易

しかし、実際のところブルートフォース攻撃だけを使って地道に総当り式で解析することはあまりなく、よく使われるパスフレーズと関連付けてより高速に解読ができるとRedditユーザーのIamfromSpace氏は投稿している。

クラッカーは、ただランダムに試すのではなく、辞書に基づいた賢いアプローチをとります。彼らはただランダムに組み合わせを推測するのではなく、パスワードダンプから構築された教育された推測をします。
“Pa$$word12345 “をブルートフォースするには200万年かかるかもしれないが、それは即座に破壊されるだろう。

つまり、「pasuwa-do」や「[email protected]」・「1111111」のようなよく使われる辞書をベースとした解析を行うと例え、文字種類が多かろうと文字数が多かろうと関係なく速攻解読されるリスクが孕むということだ。

対策としては、一般のウェブサービスの場合は2段階認証などを講じると簡単かつ安全なアカウント運用ができるがUSBメモリーなどの記憶媒体の場合は「パスワードをn回間違えると、データを消去・初期化」のような時限爆弾方式が効果的ではないだろう。

Photo by Sara Kurfeß on Unsplash

しかし市側の「データは暗号化してパスワードをかけている」という発言に対し、著者は「USBロック」がどのような種類のものかが判別出来ないのも懸念点だと思っている。
一般にパスワード付きUSBとはバッファロー社やエレコム社が高信頼USBと謳って、AESで暗号化といった場合の製品を指し、そのような製品は前述の初期化機能を搭載している物も多い。

だが、WinRARのような圧縮解凍ソフトで単にファイルをパスワード付きZIP・RARにしただけの場合や、単なるフリーソフトで暗号化した場合でも「USBにパスワードをかけた」と表現できる。それらは個人用途を目的としたパスワードリセット制限のかからないものも多く存在するため、十分なセキュリティとは言えないだろう。(15時29分追記)

Photo byTowfiqu barbhuiya

尼崎市の個人情報に関する担当者がランダムな数字・英語大文字小文字・記号のパスワードを指定し、なおかつ「[email protected]」のようなすぐ解読できるキーフレーズを用いていないという限定的な場合において「パスワードの解析は難しい」といえる。

しかし、前述の通り「担当者がパスワード文字長と文字種別」を会見で述べたことにより更に解析リスクが格段と高まっている。最悪の場合、「今後の再発防止に尽力する」だけでは済まない問題に発展しかねない。

Cover Image by Brina Blum on Unsplash

コメント

  1. 一般的に、まともな暗号化USBメモリでは、
    パスワードを一定回数間違えた時点でロックされて初期化必須になります。

    また、中のデータは、セキュリティチップによって、
    パスワードとは無関係な方法(AES256など)で暗号化しているので、
    仮に中のデータを取り出せたとしても、現実的に復号化は出来ません。

     
    具体的に、どのような手法による復号化を想定して、
    「復号化が容易である」と断じているのでしょうか?

    既存のUSBメモリに対する脆弱性の指摘かと思いますので、
    是非、後学のためにご教授願えませんでしょうか。

    • リアクションありがとうございます。
      以降の内容は「パスワードの桁数と文字種別を担当者が会見で漏らした」点を既にご存知だと仮定して、テクノロジーの観点以外にもテクノロジーを活用する自治体や担当者のセキュリティ意識も強く影響するのではと考えています。
      そして、個人的には「USBロック」がどのような種類のものかが判別出来ないのも懸念の一つだと思っております。
      一般にパスワード付きUSBとはバッファロー社やエレコム社が高信頼USBと謳って、AESで暗号化して…といった場合の製品です。
      しかし、例えば、WinRARのような圧縮解凍ソフトで単にファイルをパスワード付きZIP・RAR書庫にしただけの場合や、USBロックのようなフリーソフトで暗号化した場合でも「USBにパスワードをかけた」と表現できます。それらは個人用途を目的としたパスワードリセット制限のかからないものも多く存在します。

      前述の通り「会見で桁数を晒すレベルの極めて低いセキュリティ意識」かつ「高信頼USBメモリは高い(4000円程度)から安いヤツ買え」と上司から言われたと言った状況であれば上記のような場合も考えられます。

      • ご返信ありがとうございます。

        はい、そのようなご認識であれば、その通りだと思います。
        暗号化USBメモリ全般が危険であるように読めたため、ご質問をさせて頂きました。

        ご回答、および、追記を頂き、ありがとうございます。

        • ご返信までいただきありがとうございます。
          理解しがたい言い回しで記載した点についてご指摘いただき感謝申し上げます。

タイトルとURLをコピーしました