パスワードの別送に意味はある?
実験9
粕淵 卓,西本 真弓=NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ
富居 姿寿子,大森 章充=NTT NTTセキュアプラットフォーム研究所 NTT-CERT
出典:日経NETWORK 2016年1月号
pp.36-37
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
重要なファイルをメールで送る際に暗号化して、パスワードを別のメールで通知する運用を義務付けている企業をよく見かける。
一見安全そうに思えるが、このやり方に疑問を持つ人は少なくないだろう。ファイルを添付したメールを盗聴できる攻撃者は、パスワードが記載されたメールも盗聴できそうだからだ。ネットワークを盗聴できる攻撃者なら、暗号化ファイルを簡単に復元できるだろうか。実際に確かめた。
流れるパケットをキャプチャー
今回の実験では、パソコンからメールサーバーに送信したメールのパケットを通信経路上で取得し、復元を試みた(図9-1)。
図9-1●実験環境
パソコンからメールサーバーに(1)暗号化ファイルを添付したメールと(2)パスワードを記載した メールを、スイッチを経由して送信。その際にネットワークを流れるパケットをキャプチャーして、暗 号化ファイルとパスワードを入手できるか調べた。パケットのキャプチャーには、無料で利用できる ツール「Wireshark」と、有料の高機能ツール「ClearSight」を使用した。
[画像のクリックで拡大表示]
この先は日経クロステック Active会員の登録が必要です
日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。