業務で重要な文書ファイルをメールで送信する際、文書ファイルに対してパスワードを設定した暗号化を義務付けている企業や団体は多い。暗号化ソフトや添付ファイルを暗号化するメールゲートウエイがよく使われている。だが、ファイルを暗号化していれば本当に安全なのだろうか。ファイルを盗んだ攻撃者に解読される恐れはないだろうか。実際に調べた。
自作ツールは総当たり
メールに添付する文書ファイルの暗号化を模擬するために、「Microsoft Excel」が備えるパスワード保護機能を使って暗号化▼した。解析には、自作のツールと市販のツール▼を使った▼(図3-1)。解析対象のファイルには「xlsx」形式を使った。
図3-1●Excelで暗号化したファイルを解析する
「読み取りパスワード」を設定して暗号化したExcelファイルを、自作のツールと市販のツールを使って解析を試みた。
[画像のクリックで拡大表示]
自作ツールの解析手法は、いわゆるブルートフォース▼(総当たり攻撃)である。パスワードの候補となる文字列を次々と生成してExcelに渡し、ファイルが開けるかどうかを試す(図3-2)。
図3-2●自作のパスワード解析ツールの流れ
ブルートフォース(総当たり攻撃)でパスワードを解析するツールを作成した。開発言語はC#。パスワード候補の文字列を次々と生成し、「open」というAPIを通じてExcelに渡す。openは、ワークブック(Excelファイル)を開く機能を持つメソッド。解析ツールの作成に費やしたのは1日程度。
[画像のクリックで拡大表示]
