Recovering (someone else’s) Email Password」より
September 8,2008 Posted by Gunter Ollmann

 インターネットを常用しているユーザーなら,何らかの無料Webメール・サービスを使っている比率は相当高いだろう。事実,筆者の知人は大半がgmail.com,hotmail.com,yahoo.comといったメジャーなドメインのメール・アカウントを複数取得し,個人的な用途に利用している。

 残念なのは,これらアカウントのパスワードを覚えておくことが面倒なことだ。とりわけ,使用頻度が低いアカウントだったり,ソフトウエアの「ユーザーIDとパスワードを保存する」オートコンプリートなどの機能を使っていなかったりすると,パスワードの記憶は手間がかかる。

 パスワードを忘れてしまったら,どう対処するだろうか。メール・サービス業者に問い合わせた際に出される「パスワードを忘れたとき」用の質問にうまく答えられなくても,パスワードを知る方法はいくつもある。

 Webブラウザがパスワードを「記憶」していたり,「Microsoft Outlook」などのメール・ソフトウエアがパスワードを「保存」していたりすれば,パスワード復旧に役立つ各種無料アプリケーションが使える。この種のアプリケーションは,たいていサイズが非常に小さく,レジストリやメモリーに設けた小さなフックを使って,アスタリスク「***」で「隠された」パスワードをうまく読み出してくれる。ほかにも,ちょっとした暗号技術を利用してパソコン内のどこかに保存されたパスワードを復号して読み出すツールもある。

 筆者はこうしたツールを何度も使った経験がある。私用では,パソコンを交換する際にDSLモデムのダイヤルアップ用パスワードを復旧する目的で,仕事では,侵入テストの際に遠隔地にあるコンピュータを乗っ取り,深く侵入するために必要なユーザー・レベルのパスワードを手に入れる目的で,この種のツールを利用した。ただし,私用でも公の目的でも,使うには十分な注意が必要だ。現在こういった「無料」ツールには,スパイウエアやキーロガーが組み込まれていることが多いのだ。