タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
納税者に個人住民税(地方税)の税額を知らせる「住民税決定通知書」の電子化が2024年度から始まる。これまでは勤務先の企業が、従業員の給与から住民税を差し引いて納税し、納税額を知らせる通知書を従業員に紙で配っていた。2024年度からは電子データ形式での配布も選択できるようになる。配布時期は2024年5~6月になる予定だ。 しかし新たに採用される電子配布の方法に、企業の人事担当者らからは「紙よりも不便だ」「この方法は採用できず、紙を続けるしかない」との指摘が相次いでいる。政府が採用したのは、通知書本体のPDFファイルをZIP形式で圧縮・暗号化したうえで、復号用パスワードの取得方法を記した別のPDFファイルとともに従業員に社内システムを使って配布するという方法だったためだ。配布や閲覧するうえで非常に不便だ。 政府が廃止宣言したはずの「PPAP」、国民向けサービスでは採用 しかもZIPの暗号化に強
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 今回はアドベントカレンダーの11日目として、前回投稿した「macOSの暗号化zipファイルはパスワードなしで解凍できる」という記事に寄せられたコメントのうち、特筆すべきものをピックアップして回答していきます。 前回の記事を読んでいない方や、もう覚えてないという方は是非前回の記事を見てから続きを読んでいただければと思います。 Q. 正解するまでbkcrackを回さなくてもzip内のCRC32値と比較すれば良いのでは? はい、その通りです。 筆者が前回の記事を書いている時には完全に失念していましたが、zip内にはファイル破損を検出するためにCRC32形式のハッシュ値が含まれています。そのため、bkcrackを正解パターンを引くまで都度回さなくても簡単に正解の.DS_Storeを見つけ出すことができます。 実際に
暗号化ZIPファイルにして送信。その後、メールでパスワードを追いかけて送る。これは「おまじないにしか過ぎない」。さらには「意味がないだけではなく有害だ」と専門家は指摘する。リモートワークでも障害が出る。
デジタルアーツは6月23日、PPAP(メールなどでパスワード付きZIP暗号化ファイルを送る手法)がセキュリティーの上で問題となっていることへの注意喚起として、ZIPファイルのパスワードは6桁程度ならば1秒未満で解読できると発表した。 ZIPファイルのパスワードには入力制限がなく何度でも試行できることから、同社では一般的に購入可能なパソコンとオープンソースで入手できるパスワード回復のソフトウェアを利用してテストを実施。サンプルで設定した「zansin」という英語小文字6ケタのパスワードは1秒未満で解読できたという。また、12ケタと若干多めのケタ数であっても解読時間は2分51秒という短時間で解読。
これから日本の大組織が悩む、自動暗号化Zipファイルの代わりをどうすべきか問題|楠 正憲(Japan Digital Design CTO)
内閣府・内閣官房がメールサーバーの設定を変更して添付ファイルを自動的に暗号化Zipに変換する仕組みを停止させた。情報処理学会の機関誌『情報処理』が7月号で暗号化Zipメールの小特集を組み、10月に入ってデジタル改革アイデアボックスに暗号化Zipの添付廃止が提言され、11月24日平井卓也デジタル大臣が記者会見で自動暗号化ZIPファイルと同一経路を使ったパスワード別送の廃止を表明、翌25日から内閣府・内閣官房のメールサーバーの設定が変更された。 電子メールの添付ファイルの自動暗号化Zip化は、金融機関や通信キャリアなど日本を代表する組織の多くで現在も使われていることから、今後、各組織で暗号化Zipファイルを廃止すべきか否か、議論が進むものと考えられる。 暗号化Zipファイル添付の何が悪かったのか自動暗号化Zipファイルの問題は、データを保護する上で全く効果がないにも関わらず、サンドボックスによ
2020/11/17(火)、平井デジタル改革担当相が定例会見で「パスワード付き ZIP (通称、PPAP) の廃止」について言及されました。国民からの意見を直接募り、一国の担当者が、このような運用にまで言及されたことは、とても珍しいように思えます。 IIJスタッフがやりとりするメールでも、業務やお客様のご都合もあり、全面的にすぐ廃止はできませんが、準備ができたところから順次、パスワード付き ZIP を廃止していく方針です。 なぜパスワード付き ZIP を廃止するのか まず、メールを運用する立場から、パスワード付き ZIP 廃止の方針に賛成します。 なぜなら、一言に危険だからです。 じつは、従来から誤送信対策とされるパスワード付き ZIP (暗号化 ZIP) は効果が薄いばかりか危ない、という主張をしていました。次の資料は 2018年 11月に開催された「迷惑メール対策カンファレンス × J
PDFファイルにパスワードをかける セキュリティのため、暗号化ZIPファイル(パスワード付きZIPファイル)の受け取りを拒否する企業が増えてきている。ZIPファイルにパスワードが付けられないのであれば、PDFファイルにパスワードを付けて保護すればよい。PDFファイルにパスワードを付ける方法と注意点をまとめた。 これまで見積書や請求書、契約書などをメールで送付する際、暗号化ZIPファイル(パスワード付きZIPファイル)を使うことが多かったのではないだろうか(暗号化ZIPファイルをメールで添付し、別メールでパスワードを記載して送付する手法は、「PPAP」とも呼ばれる)。 しかし、暗号化ZIPファイルはメールサーバで実行されるセキュリティスキャンを回避してしまうので、暗号化ZIPファイルにマルウェアをまぎれ込ませるサイバー攻撃の手法があり、メールを受け取る側のリスクが高まる。そのため、メール添付
黒枠のラベルは、コンテンツホルダー自身が付与したものです。グレー枠のラベルは本文解析で自動付与されたものです。 漏洩防止のため、重要なファイルをメールを送付する際、こんなやり方で送っていませんか。ファイルをパスワードを使って暗号化ZIPファイルにして送信。そのあとに、ファイルを開けるための、パスワードを同じメールアドレスに送るーー。銀行や弁護士、大企業なども使っている方法だ。 これは「意味がないだけではなく有害だ」。そう指摘するのは、アイデンティティ管理とプライバシー保護に詳しい「NATコンサルティング」代表の崎村夏彦さんだ。 多くの企業でセキュリティ強化の目的で、ZIPファイルを添付したメールとパスワードの通知をそれぞれ別のメールで送信することを内規などで推奨している。だが、ZIPさえ使っていればセキュリティ強化だと思い込む「盲信」に警鐘を鳴らす。 パスワードを送るのに同じ流通経路のメー
暗号化した添付ファイルを送って、その直後にパスワードが来るPPAPと言われる日本特有のメールの悪慣習。 セキュリティ上も意味がないと言われているし、管理を煩雑にしている。 行政はPPAPをやめるとともに、PPAPメールは受け取らないとしたらどうか。
平井卓也デジタル改革相は24日の記者会見で、内閣府と内閣官房の職員がメールでファイルを送付する際に使う「自動暗号化ZIPファイル」を26日に廃止すると発表した。パスワードを記載したメールが同じ経路で届く仕様に関し「セキュリティー対策や利便性の観点からも適切では
情報処理2020年7月号別刷「《小特集》さようなら,意味のない暗号化ZIP添付メール」 | 情報処理学会 | 雑誌/電子書籍/定期購読の予約はFujisan
情報処理学会誌「情報処理」人気特集号「さようなら,意味のない暗号化ZIP添付メール」の別刷デジタル版(iPad対応) 情報処理学会誌「情報処理」2020年7月号小特集「さようなら,意味のない暗号化ZIP添付メール」の記事のみを抜き出した別刷(冊子)。本小特集では、パスワード付き暗号化ファイルを作って添付ファイルとしてメールで送り,同じメールアドレスに今度はパスワードを送るという対策を「PPAP」と名付け, PPAPが生まれた経緯, それぞれの立場からのPPAPの評価と代替策,座談会を行い,より良い方策を検討した.(解説記事執筆者他:崎村夏彦、大泰司章、楠 正憲、上原哲太郎)
Haruhiko Okumura on Twitter: "『情報処理』7月号 小特集「さようなら,意味のない暗号化ZIP添付メール」 https://t.co/fq9Zlt6BE1"
『情報処理』7月号 小特集「さようなら,意味のない暗号化ZIP添付メール」 https://t.co/fq9Zlt6BE1
NFLabsの記事によれば、macOSで作られた暗号化zipファイルは、特定の二つの条件を満たすとパスワード無しで簡単に解凍できるのだそうだ。その条件の一つはzipの暗号化方式がzipcryptoであること、二つ目はzip内のディレクトリの中身が.DS_Storeファイル+何らかのファイルが1個であるといった条件だという(NFLabs)。 細かい仕組みに関しては元記事を見ていただきたいが、結論としてはシステム構成に関する情報が含まれる「.DS_Store」ファイルを利用するもので、zipファイル内の.DS_Storeを既知平文攻撃を外部ツールを利用して行うことにより、暗号化zipファイルをパスワード無しで解凍できるとしている。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
住民税決定通知書の電子化はまさかの暗号化ZIPファイル配布、「紙より不便」の声
macOSの暗号化zipの話の続き - NFLabs. エンジニアブログ
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
「暗号化ZIPのパスワードは別送します(PPAP)」は無意味、ZIP暗号化パスワードは1秒未満で解読可能
パスワード付き (暗号化) ZIP廃止の考え方と対策 | IIJ Engineers Blog
暗号化ZIPがダメならPDFファイルにパスワードをかければいいじゃないか
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには | ハフポスト日本版
PPAP(暗号化zipの添付廃止) by モグラさん | デジタル改革アイデアボックス
自動暗号化ZIPファイル廃止 内閣府と内閣官房 デジタル相「不適切」 - 日本経済新聞
デージーネット、メールセキュリティソフト「SaMMA」に暗号化ZIPファイルの無害化機能を追加
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる | スラド アップル
デスクトップ版「Chrome」の新しいダウンロード警告 ~暗号化ZIP対応なども強化/暗号化された書庫ファイルも「拡張保護モード」ならスキャン可能
www.nikkei.com
www.nikkei.com
av.watch.impress.co.jp
www.nnn.co.jp
dl.ndl.go.jp
av.watch.impress.co.jp