セキュリティフライデーは2004年5月20日,脆弱なパスワードなら数秒~数分以内で割り出すシステムを開発したと発表した。Windowsが認証時にやり取りするパケットをキャプチャして解読する。ただし,文字数が多く,記号を混ぜた推測が難しいパスワードは割り出せない。「この特徴を生かし脆弱なパスワードを使っているユーザーを見つけ出すシステムとして大企業や官公庁向けに販売する」(同社の佐内大司社長)という。悪用される可能性を考え,パッケージとしては販売しない。個別に受注したシステムに組み込む。受注は2004年秋頃に開始する予定。
解析対象となる認証方式はNTLMv1と新NTLM。NTLMはWindows NT 4.0とWindows 2000 Service Pack 2以前,新NTLMはWindows 2000 Service Pack 3以降とWindows XPがデフォルトで利用する認証方式である。今回のシステムでは,既存の辞書攻撃を使ってパスワードを割り出すのに7日かかる場合で5秒,30日かかる場合で20秒で解析できる。それぞれの場合で,1.4テラバイト,5.7テラバイトのハードディスク容量が必要になる。
(中道 理=日経バイト)
