昨今の個人情報流出事件の報道で思うこと


ここ最近個人情報流出事件が頻発してますね。
どうも標的型攻撃で日本が狙われているとか何とか。
で、その報道を見ててちょっと気になったことが。

流出したファイルにパスワードがかかっているので大丈夫とか、そういう話をちょいちょい見かけるんですが、それって全然安心じゃないよね。
利用状況からしてパスワードかけてるのもWordとかExcelのパスワードのような気がするし、そうでないとしてもローカルのファイルのパスワード解くのなんて今時のマシンパワーからすればあっという間。
報道機関の人たちもリテラシー低そうなので気がついてないのかもしれないけど、パスワードかかってれば安全とか一般人が思ってしまうのはちょっと怖いものがあります。

実際今どきのマシンでどれぐらいでWordやExcelのパスワードをクラックできるのかとざっとぐぐってみると、GPGPUを活用すると数十秒から数分あれば余裕のようですね…。
比較的強力な暗号化とされる7-Zipは256bitのAESですが、このあたりも数日あればなんとかなるみたいです。
データが宝の山とわかっていれば、当然その程度の投資はするだろうし、標的型攻撃仕掛ける連中なら自前のマシンリソースに加え、クラックしたサーバーなんかも活用できる可能性高いですし、余裕過ぎますね。
そういやAWSでうっかりrootパスワードをネットに公開しちゃってた人のアカウントで32コアのインスタンスが10個以上動いてたなんて話もありましたしね…。

パスワードによる暗号化なんて今やほとんど意味を成さなくなってきたので、メール送信でいちいち暗号化するのやめちゃっていいんじゃないかなと思う今日このごろです。
そもそも別メールでパスワード送ってたら、例えばメール配送途中で盗聴されてるんだとしたらパスワードも盗聴されてることになるから効力薄いわけだし。
もうノーガード戦法でいいじゃないですかー。全部オープンで。

ってまあそういう訳にはいかないか。

コメント