業務で重要な文書ファイルをメールで送信する際、文書ファイルに対してパスワードを設定した暗号化を義務付けている企業や団体は多い。暗号化ソフトや添付ファイルを暗号化するメールゲートウエイがよく使われている。だが、ファイルを暗号化していれば本当に安全なのだろうか。ファイルを盗んだ攻撃者に解読される恐れはないだろうか。実際に調べた。
自作ツールは総当たり
メールに添付する文書ファイルの暗号化を模擬するために、「Microsoft Excel」が備えるパスワード保護機能を使って暗号化▼した。解析には、自作のツールと市販のツール▼を使った▼(図3-1)。解析対象のファイルには「xlsx」形式を使った。
自作ツールの解析手法は、いわゆるブルートフォース▼(総当たり攻撃)である。パスワードの候補となる文字列を次々と生成してExcelに渡し、ファイルが開けるかどうかを試す(図3-2)。