パスワードを忘れた? アカウント作成
16593095 story
Google

Microsoft、クラウド上でパスワード付きZIPファイルをスキャンか。Googleは公式発表 32

ストーリー by nagazou
リスクのあるものはクラウドに置かない 部門より
OneDriveやSharePointなどのMicrosoft提供のクラウドサービスで、ユーザーがアップロードした、パスワード付きZIPファイルのスキャンが実施されていると海外で報じられているそうだ(Andrew Brandt氏の投稿gHacks Tech NewsINTERNET Watch)。

この件はセキュリティ研究者のAndrew Brandt氏が報告したもので、同氏によればアップロードしたマルウェアサンプルの一部に関して、マルウェアとしてフラグを立て始めたことに気がついたという。このマルウェアサンプルは、同僚と共有するためにSharepoint上にアップしていたものだそう。用いられていたパスワードは「infected」(感染済み)という非常にシンプルなものだったという。同氏はこのような「おせっかい」はマルウェア研究者の仕事にも影響が出ると述べている。

なおクラウドサービスに関するチェックに関してはGoogleも進めている。Googleは10日、Google Driveにおいてスパムフォルダーを追加することを発表。Gmailの迷惑メールに類似した仕組みを用いて自動で不要と疑われるファイルをスパムとして判定し、ドライブ内のスパムフォルダーに移動させる方針。スパムフォルダーに移動されたファイルは、コメントや共有されたことを知らせるモバイルプッシュ機能がブロックされるとしている(Google Workspace Updates窓の杜)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年05月19日 15時18分 (#4462944)

    パスワードクラックはしてないと思うので(労力に見合わないリスク)、暗号化してても見れるzip内のファイル名とサイズかな。
    圧縮率(圧縮前後サイズ)まで考慮すればけっこう特定できそうな気がする。

    余計なお世話だけど、PPAP等でパスワード付きzip形態のマルウェアが送られてきてることを考えるとアリかもしれない。
    勝手に消したり移動したりされるとさすがに困るが…

    でもまぁ、上記判定だとしたらファイル名とか圧縮率とかを可変にする進化がすぐ進むからイタチごっこかな。
    でもパスワードクラックしてまで確認はしないと思うんだよなぁ…。
    国によっては触法しそうな手法だし、やるかね?

  • by Anonymous Coward on 2023年05月19日 15時13分 (#4462938)

    仮にもセキュリティ専門家がinfectedなんて弱々なパスワードを設定してクラウドにアップロードする事があるのか!

    • by ogino (1668) on 2023年05月19日 17時27分 (#4463047) 日記

      マルウェア検体の扱いとしては普通でしょう。私が以前マルウェア対策を扱っていたときは virus をパスワードにしていました。

      https://cybersecurity-jp.com/column/74261 [cybersecurity-jp.com]
      ランサムウェアの被害者になった場合の対処方法

      分析のために保管しておくべきもう一つの重要なアイテムは、ランサムウェアやマルウェアの検体です。
      業界標準では、これらの検体は「virus 」または「infected」というパスワードを付けたアーカイブファイルに追加され、安全な場所に保管されます。
      パスワードで保護した .zip は、必要に応じてアナリストに安全に渡すことができます。マルウェアをリバースエンジニアリングして研究することで、攻撃の手口を発見することができ、インシデント対応の担当者や調査員が被害状況を調べる場所を絞り込むのに役立ちます。

      親コメント
      • by Anonymous Coward

        自分も自作ソフトが誤検知されたときにパス付きzipで自動削除の掛からない検体作って状況確認とかしてたわ。
        ただ今回の事例だと、「アーカイバに定型パスワードで突っ込むスクリプト」みたいなのに投げ込むと
        マルウェアを生成するデータ列として認識されてた可能性もワンチャンあるね。
        そういうのが理由なら定型が広がりすぎた弊害かも。

    • by Anonymous Coward on 2023年05月19日 15時28分 (#4462951)

      このパスワードは情報保護を狙った物ではなくフェイルセーフ目的なんだと思う。
      誤ってダブルクリックした時、開けない様にPWを設けているだけ。
      infectedがウイルス感染zipの目印なんでしょう……

      親コメント
    • by Anonymous Coward on 2023年05月19日 15時35分 (#4462960)

      まあ、うっかりスキャンで消される事さえ防げればいいって事だろうし…

      親コメント
    • by Anonymous Coward

      強いパスワードと弱いパスワードの使い分けが分からないのはセキュリティ専門家じゃないせいかね。

    • by Anonymous Coward

      仮にもセキュリティ専門家がinfectedなんて弱々なパスワードを設定してクラウドにアップロードする事があるのか!

      ガラスの試験管にウイルス入れてコインロッカーに入れてる研究者のようなものだよなぁ
      中国あたりでは普通にあるかもしれんが

  • by Anonymous Coward on 2023年05月19日 15時15分 (#4462940)

    日本ではPPAP(メールでパスワード付きZIPファイル)を送ることが多いが、
    PPAPでマルウェア送られたときの対策に、パスワード付きZIPファイルのパスワード解読して中身スキャンしたほうがいいとおもう

    十分な強度のパスワードつけられたらどうにもならないが、たとえはGPGPUで10秒で破られる程度のパスワードなら、
    破ってスキャンすればいい

    • by celibidache (14043) on 2023年05月19日 17時51分 (#4463071)
      PPAPだったら、頑張ってpasswd解読しなくても、
      直後に送信された平文の中にpasswdがあると思う
      親コメント
      • by Anonymous Coward

        うちの会社も、以前はそんな「ソリューション」を採用してた。

    • by Anonymous Coward

      前後のメールにパスワード書いてあるなら総当たりせんでもええやろ。

    • by Anonymous Coward

      毎日何億通ものメールを処理しているのにメール1つに10秒も掛けられるわけないだろ(しかもGPU全開で)。お前が個人的に手元でメールスキャンするのとはわけが違うんだぞ

  • by Anonymous Coward on 2023年05月19日 16時08分 (#4462986)

    前に何回か「Gmailにメールの内容を広告に利用されないようにする事のみを目的としてPPAPするのって有効なのかな?」って質問のコメントを書いたけど、結局Google DriveでもGmailでもPPAPしても結局中身みられて広告パーソナライズに利用されちゃうのかな?

    • by Anonymous Coward

      これが嫌だからパスワード100文字以上にしてDMGで圧縮してDriveに入れてるけど、いつか数十年後に破られるんだろうなってずっと思ってる。
      いくら暗号化してもその場しのぎだよな。

      • by Anonymous Coward on 2023年05月19日 17時43分 (#4463064)

        広告に使うようなあなたの趣味趣向が数十年後に破られて困ることがどこにあるんだろう、
        むしろ数十年後に現在の趣味趣向に沿った広告が出てほっこりするほうがありうるんじゃないか?

        親コメント
      • by Anonymous Coward

        素人質問で恐縮ですが、例えばAES-256を使ってるとしてそれに対して800ビット(1文字1バイトとして100文字分)のキーを与える意味ってあるの?

        • by Anonymous Coward

          パスフレーズとかは文字列のビット数程の情報量はない。
          ランダムな単語列としたら、語彙数を単語数分掛けた数で考えるべき。
          ただ語彙の数は攻撃側の辞書によるのでその情報量は評価が出来ない。
          使った語彙をカバーしつつも語彙が少ない辞書でアタックされると弱い。
          極端な例だと使っている単語しか入ってない辞書なら瞬殺される。

          だからまぁ、パスフレーズを長めに取るのはいいことだよ。
          マイナーな単語やミススペルが混ざるとなお良し。

          • by Anonymous Coward

            要するに大した意味ないんだな

            パスフレーズとかは文字列のビット数程の情報量はないとは言うが、それでも総当たり攻撃の対策としては大小英数字で16字もあれば十分
            そして辞書攻撃の対策で求められるのはその辞書に含まれないことか、または含まれててもそれらの組み合わせから回避できるかどうかであって本質的には長さじゃない

            なので、この両方を満たすためにXX万語の辞書から3単語選長さと組み合わせを両立させろって話が出たりする

            短いパスワードはダメというのは正しいが、それは長ければいいという話ではない
            パスフレーズを*長め*に取るのはいいことだとしても、その長めとは十数文字程度の話であって、100文字は意味がないほど長いだけ

            • by Anonymous Coward

              16字の根拠は?ちゃんと高校生レベルの対数計算した?
              文脈的に鍵導出関数を信用しない場合だよね?
              16文字のエントロピー計算してみな?

          • by Anonymous Coward

            #4463153の素人ですが、私はAES-256に対して800bit与えて鍵生成する意味(意義)を聞いてます
            あなたの回答には、アルゴリズムの具体例として挙げたAES-256を踏まえた内容は一切なく、単なるいいパスワードの付け方という低いレイヤーの話だけで成り立っています
            そんな素人でも知ってることを答えられても困ります
            ついでに言うなら、100文字以上にすることがいいパスワードの付け方だと思ってるど素人からの回答は求めてないです

        • by Anonymous Coward

          本当に素人質問するやつがあるか、と言おうと思ったがどう考えても理不尽なのでやめた。

          # 謙遜のつもりなのかなんなのか知らないが、ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい

          • by Anonymous Coward

            素人質問にすら答えられないやつが、他の事でつまらないマウント取ろうとしておきながらやっぱやーめたって書いてるのみっともねぇな……
            しかも『ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい』とか自分のやってること棚上げして説教がましてるのもポイント高い

        • by Anonymous Coward

          素人質問が~とか言う質問ってどこまで知ってて言ってるのかわからないから困るんだよな
          まあ俺も素人だけど答えるね
          最悪のシナリオとして選んだ鍵導出関数が脆弱性だらけで全く用をなさないと仮定する
          (AESと鍵導出は全然別物なのは知ってますか?パスワードからAES用に別途PBKDF2とかで所定のビット数の鍵を導出するのです)
          となると攻撃者は総当たりする上でAES上の鍵を直接ブルートフォースするか、用をなさない鍵導出関数を経由してパスワード空間上でブルートフォースするかの二択。
          普通はパスワード空間上でブルートフォースするから、800ビットとかにしとけば無駄に本来

  • by Anonymous Coward on 2023年05月21日 18時55分 (#4464036)

    記憶違いだったら悪いけどGmailもパスワードinfectedだとマルウェアをメールで送れなかったような気がするなー
    もちろんお仕事で取り扱ってたやつね

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...