情報セキュリティ

10の疑問を試して解明 セキュリティ大実験室

パスワードの別送に意味はある?

実験9

2016/04/14

粕淵 卓,西本 真弓=NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ
富居 姿寿子,大森 章充=NTT NTTセキュアプラットフォーム研究所 NTT-CERT

  • このエントリーをはてなブックマークに追加

 重要なファイルをメールで送る際に暗号化して、パスワードを別のメールで通知する運用を義務付けている企業をよく見かける。

 一見安全そうに思えるが、このやり方に疑問を持つ人は少なくないだろう。ファイルを添付したメールを盗聴できる攻撃者は、パスワードが記載されたメールも盗聴できそうだからだ。ネットワークを盗聴できる攻撃者なら、暗号化ファイルを簡単に復元できるだろうか。実際に確かめた。

流れるパケットをキャプチャー

 今回の実験では、パソコンからメールサーバーに送信したメールのパケットを通信経路上で取得し、復元を試みた(図9-1)。

図9-1●実験環境
パソコンからメールサーバーに(1)暗号化ファイルを添付したメールと(2)パスワードを記載した メールを、スイッチを経由して送信。その際にネットワークを流れるパケットをキャプチャーして、暗 号化ファイルとパスワードを入手できるか調べた。パケットのキャプチャーには、無料で利用できる ツール「Wireshark」と、有料の高機能ツール「ClearSight」を使用した。
[画像のクリックで拡大表示]

まずは、暗号化ファイルを添付したメールを送信し

1 2 3 次ページへ
次ページ以降はITpro Active会員(無料)の方のみお読みいただけます。
会員の方は、 ログインしてご覧ください。
まだ会員でない方は、ぜひ登録(無料)していただき、ITpro Activeの豊富なコンテンツをご覧ください。
出典:日経NETWORK 2016年1月号pp.36-37
(記事は執筆時の情報に基づいており、現在では異なる場合があります)

おすすめの記事

    関連プレスリリース

      注目コンテンツ