メールで添付ファイル送付、パスワードの危険性 | ITオフィスサポートとシステム開発|システムガーディアン AWSクラウド導入|東京都中央区八丁堀

ITサポート出張、ITシステム開発・保守をワンストップで|AWSクラウド|東京都中央区八丁堀

ITオフィスサポートとシステム開発|システムガーディアン AWSクラウド導入|東京都中央区八丁堀

電話でのお問い合わせ

メールで添付ファイル送付、パスワードの危険性

   

メールセキュリティ
今回は、メールでファイルを送るときの話をしよう。

 

よく、客先や知人に、メールでファイルを送信する際、パスワードZIPにして送ることが多いだろう。パスワードをファイル添付後すぐに送信していないだろうか?実は、このパスワードをすぐに送信することが、既に攻撃者の攻撃ポイントになっている事をご存じだろうか。通常、通信内容を盗聴する際に用いる手法として、幾つかのポイントがある。

 

1.攻撃相手のネットワークに潜むケース

 

攻撃相手のネットワークに、何らかの盗聴システムを配し、通信内容を常に確認している方法だ。一般的に、ファイルサーバへのアクセスとして、Windowsのファイル共有を用いている場合、用いるパスワードは暗号化されている。しかしながら、通信しているファイルの内容やファイル名などは暗号化されていない。このため、もしも、攻撃対象のネットワーク内にマルウェアを配置することが出来たなら、通信がマルウェア上を流れている限りにおいて、ファイルサーバの内容は丸裸と言える。

2.攻撃相手とメールサーバの間に潜むケース

攻撃相手のインターネット接続ポイントに、何らかのマルウェアを配するケースだ。この場合、インターネットとの通信情報を全て把握することが出来る。仮に通信内容が暗号化されている場合は、経路上に透過Proxyと偽の証明書を配せば問題なく、平文として通信内容を読むことが出来る。情報システム部やセキュリティを専門に行っていなければ、偽の証明書がブラウザやメールサービス等で表示されたとしても、何ら疑問を持つこと無く、偽の証明書を受け入れてしまうかもしれない。偽の証明書を取り入れた場合、いかなるSSLを含む通信でも、攻撃者は平文で読むことが出来る。

3.メールサーバに潜むケース

メールサーバにマルウェアを配した場合、通信する全てのメールが読み放題になる。通信経路が暗号化されていようとも、先ほどの様な偽の証明書を利用しなくても、ごく普通にファイルを読むかのように、メールを読み書き出来る。当然、メールを改ざんすることも問題なく行える。ここまで書いて、気づいた人もいるだろう。パスワードZIPの話と先ほどまでのケースとは内容がリンクされていない。
つまり、通信路が暗号化されていても、平文で通信されていたとしても、パスワードZIPの存在そのものには影響を与えない。
ただし、ファイルそのものは暗号化されていても、それを解く鍵が平文で通信されていた場合、これは大きな問題となり得る。
攻撃者が通信内容を全て記録していた場合、2や3のケースではスムーズに、流れてきたパスワードを使って、パスワードZIPを展開する事が出来る。

 

では、どうするのが良いのか?

通信相手と、予め用いるパスワードの基礎フレーズを決めておく。この基礎フレーズは、プロジェクトが終了するまででも良いし、特定の期間だけでも構わない。そして、この基礎フレーズは共有者だけで共有し、他には絶対に公開しない。
この基礎フレーズを直接パスワードZIPに用いずに、2工夫ほど行う。例えば、今日が2016年8月31日だったとする。基礎フレーズは、guardian だ。一つ目の工夫は、[guardian20160831] とする。

 

つまり、基礎フレーズ+今日の日付だ。この状態のまま送信した場合、何度も送信していくと、攻撃者がパスワードの内容を気づいてしまう可能性もゼロでは無い。そこで、もう一つ工夫を加える。

 

とする。ここで表示された内容は、ハッシュ値と呼ばれる物で、元のフレーズを1bitでも変更する事があれば、その内容は大きく変わり、元のフレーズを調べる事はかなりの困難を極める。このハッシュ値を用いて、毎回パスワードZIPを送信しているケースに於いては、擬似的なストリーム暗号であり、数学的な解釈からもスパコンレベルの機材を用いたとして、数億年の時間を有する。

 
先ほどまでの、パスワードZIP送信後に、パスワードを送信する方法に比べ、パスワードフレーズが秘匿化されるほか、内容もかなり緻密な内容となっており、普通の環境でクラックすることは不可能に近い。1のケースを除き、非常に優位な状況となり得る。
各自も、一度試されてみては如何だろうか。

 

 

rokaku人物紹介:六屋敬
白夜書房発刊ハッカージャパン誌で、10年以上の執筆活動。ハッカージャパンで書いてきた「教えて!くろい事」をベースに、最新の話題をくろく評価。
必殺技:警察関係の情報・セキュリティ関連

 - おしえて!くろい事, セキュリティ, 連載

  関連記事

ゆるいハッキング大会
第6回 ゆるいハッキング大会 in TOKYO 無事終了 反省と今後

攻撃の手法側から見て、セキュリティを高めようという社内イベントから発展したセキュリティカンファレンス「第6回 ゆるいハッキング大会inTOKYO」も昨日無事終了 …

ゆるいハッキング大会 inTOKYO
2月20日(土) 第10回 ゆるいハッキング大会 in TOKYO

2016年2月もまた”ゆるいハッキング大会inTOKYO”を開催します。 皆様のご協力を得て、前回も無事終える事ができました。 (前回の様子:第9回 …

20151204_zinnzyabukkaku1
寺社・仏閣の防犯対策 防犯カメラシステム設置事例から考察

目次1 0.はじめに2 1.寺社・仏閣における設置の現状3 2.過去の防犯カメラ設置事例から考える4 設置への動機:賽銭箱やおみくじの入っている箱を守りたい!5 …

20151119_manshonn
防犯カメラを活かした防犯対策のポイント その4 マンション

目次1 0.はじめに2 1.マンションにおける犯罪の種類3 2.マンションにおける防犯対策とその効果4 3.防犯設計指針に基づく、照度基準と防犯カメラ設置基準5 …

第15回 ゆるいハッキング大会inTOKYO
第15回 ゆるいハッキング大会inTOKYO開催

目次1 第15回ゆるいハッキング大会開催2 概要と内容3  お申し込み 第15回ゆるいハッキング大会開催 お世話になります。2016年7月も、ゆるいハッキング大 …

防犯優良マンション 専用部分
「防犯優良マンション認定基準の考察」その2

目次1 0.トピックス2 1.今日の内容3 2.専用部分・必須事項のポイント4 私の現場経験から鑑みて、ほぼ100%、このようなインターホンは設置しております。 …

20151209_nennmatunennshi4
あなたの住まいの防犯対策 年末年始の安全を守る!

  大八木です。昨日、今年の漢字一文字が、「安」と発表されました。いろんな意味が込められているとは思いますが、個人的には、社会全体が「不安」から、「安 …

vuls
サーバの脆弱性自動診断ツール「Vuls」で運用管理が楽になる

今日もインドカレーを食べるインフラ担当の「やっさん」です。   人物紹介:やっさん(加藤) オンラインゲーム会社や通信キャリアに常駐後、現在はサーバ構 …

防犯
セキュリティ対策 簡単にできる防犯対策! マンション・集合住宅編

目次1 0.今住んでいるマンション・集合住宅は大丈夫ですか?2 1.マンション全体で侵入の被害にあいやすいのは1階だけではない!3 2.今すぐ玄関のカギの点検を …

20151128_tokyobouhannyuuryou2
「防犯優良マンション認定基準の考察」その3

目次1 0.はじめに2 1.考察ポイント3 2.共用部分エリアにおける防犯カメラ選定の必須事項4 3.インターホン設定の設置基準5 4.最後に6 防犯カメラシス …

トップページ