いい加減「PPAP」止めようね・・・
PC Watchの記事に、 6桁の英字パスワードなら家庭用PCでも1秒で解読。PPAPに警鐘 てのがありました。
情報セキュリティメーカーのデジタルアーツ株式会社は23日、ZIPファイルのパスワードに関する分析レポートを公開したそうです。記事によると・・・
Core i5を搭載した一般家庭向けPCでも、6桁の英字パスワードなら1秒で解読できることから、多くの企業・団体で用いられている、機密情報をパスワード付きZIPファイルで運用する「PPAP」(Password付きZIPファイルを送ります、Passwordを送ります、Angoka Protocol)手法に警鐘を鳴らしている。
ZIPファイルにかけたパスワードは、多くのログインパスワードと違い、何度でも入力試行できる。そのため、PCを使って総当たりで解読できる。今回、デジタルアーツでは、5年前に購入したCore i5、メモリ32GB、SSD 500GB、GeForce GTX 1070というスペックの市販PCを用いて、ZIPファイルパスワードの総当たり解読を行なったところ、6桁の英字、および8桁の数字のみのパスワードは1秒未満で解読できた。
だそうです。既に政府が官庁でのPPAP廃止を打ち出してから結構経ちますが、それに続いて民間企業でもPPAPを廃止する流れが加速しています。
記事にもある通り、ZIPファイルはパスワード試行が何度でもできるためブルートフォースアタック(総当り攻撃)が簡単です。最近はPCの処理能力が上がったために、英字のみや数字のみであれば簡単に突破できてしまいます。
中の人も、仕事柄いろんな企業様からPPAPでファイルが送られてきていましたが、入力の際の手間を考えてなのか強固なパスワードを設定してくる企業さんは皆無で数字のみとか英字のみが結構多かったような気がします。
そのような現状からも、PPAP自体が意味をなさなくなってきているので、廃止も当然の流れでしょう。
では、PPAPを止めてどうやってファイル共有しているのかと言えば、官庁などでは独自のシステムを導入しているところもあるようですが、民間ではファイル共有サービスを利用しているところが多いようです。
以前は「宅ふぁいる便」を使っているところが多いようでしたが、サービスを終了してしまったために現在では、firestorage を利用しているところが多いようです。それと Dropbox や Box などのクラウドストレージでの共有サービスを利用してる所も多いですね。
まだ、PPAPを続けてらっしゃる企業様はこの機会に、Firestorageやクラウドストレージの共有サービスなどに以降をご検討になってみてはいかがでしょうか?