パスゲッター (PassGetter) レビュー

まえがき

情報漏洩リスクもあり、メール添付やオンラインストレージ保管にパスワード付ZIPを活用している方もおられると思います。そのパスワードを忘れてしまった時に役立つのが解析ツール。

Pika ZipやLhaplusなどが有名ですが、最近はGPUパワーを活かす解析ツールが登場しています。逆に悪用されることもありますし、どの程度のことができるのか試してみました。

　⇒　パスゲッター公式サイト (インターナル)

WindowsとZIPパスワードを解析するパスゲッター (v1.0.0.5)

GPUを活用する無料の解析ツールもありますが、パスゲッターは有料です。
有料の代わりにグラフィカルで、日本語のインターフェイスを備えているのが特徴です。

パスゲッター (PassGetter) Windows パスゲッター (PassGetter) ZIP

CPU・GPUの設定。時間はかかりますが、CPUだけでも解析可能です。

パスゲッター (PassGetter) CPU設定パスゲッター (PassGetter) GPU設定

テスト用のパスワードZIPを作る

ZIP作成には7-ZIP (v9.20)を使い、暗号はZIPデフォルトの「ZipCrypt」を選択。
パスワードはIDManagerの生成ツールで作成しました。

アルファベット大文字あり
アルファベット小文字あり
数字あり
記号　有・無で2バージョン作成
6桁以上

パスゲッター (PassGetter) パス生成1 パスゲッター (PassGetter) パス生成2

解析してみる (v1.0.0.1を使用)

パスゲッターは辞書アタックも可能ですが、今回は総当たり（Brute Force Attack）で解析。開始後、CPU使用率は100％に貼り付き、GPUも使用率が変動しています。
（使用PCはNEXTGEAR-NOTE i950GA1、GPUは非常に強力です）

GPU	GeForce GTX 580M
CPU	Core i7-2820QM
Chipset	HM67
メモリ	16GB (PC3-10700 SMD-N4G68H1P-13H)
HDD	Intel SSDSC2MH120A2 / Samsung HN-M101MBB
ODD	HD-DL-ST DVDRAM GT40N

パスゲッター (PassGetter) 使用率

パス発見。このようにパスワードが表示されます。

パスゲッター (PassGetter) 完了

初期バージョンでは「#@.」など一部記号に非対応でしたが、その後のカスタマイズ機能追加で対応。ワンクリックでカバーするインスタント設定が欲しいところです。

またAES256で暗号化されたZIPは解析できません。

パスワード解析予測時間 (v1.0.0.1を使用)

パスワードの桁数による差を調査。GPU有・無で解析時間をグラフ化してみました。

※パスゲッターの予測時間は開始直後は変動が激しいため、6桁は開始1分後、7桁（記号なし）は3分経過後の見積もりを使用。7桁記号あり以上では数日単位になるため、なかなか予測が安定しません。

実際にはパスワードがこの時間内のどこかで見つかるため、より短時間で終わります。

パスゲッター (PassGetter) 時間グラフ

上記の通り 6桁、7桁は簡単に解析が可能です。8桁も数日で解析できそうです。

解析されないためには

対策の基本は暗号をAES256に変えることが推奨されています。総当たりで解析不可能になるわけではないですが、より時間がかかるようになります。

ZipCryptを使う限りにおいては現実的な時間でパスワードが解析できてしまうので、7-ZIPサイトに書かれているように重要データの暗号化にはAES-256が推奨されます。
　→　コマンドでZIPや7zにパスワードを付ける | 7-Zip

ただAES256で暗号化すると、Windows標準機能で解凍できなくなり、Explzhなど一部ツールでも解凍できなくなります。慣れた人同士なら「AESで暗号化」で済みますが、PCに不慣れな相手に送る場合、解凍のハウツーを説明する必要が出てきます。
　→　Q： AES 暗号化ZIP が「ZIP圧縮フォルダ」で解凍できません。