不倫サイトの流出パスワードを解読、強力ハッシュの突破に成功か

解読には何百年もかかると言われていた「bcrypt」のハッシュ破りを大幅に高速化できる方法が見つかり、既に1120万を超すパスワードがクラッキングされているという。

[鈴木聖子，ITmedia]

　既婚者の不倫を奨励していた出会い系サイト「Ashley Madison」から会員情報が盗まれ、インターネットに暴露された事件で、流出したパスワードの保護に使われていた強力なハッシュを破ることに成功したとして、「CynoSure Prime」というクラッキング集団がブログでその方法を公開した。

不倫サイトのパスワード突破に成功？ （CynoSure Primeから）

　この事件ではAshley Madisonに登録していた会員の氏名や住所、パスワードなどの情報が大量に流出した。しかし、パスワードは「bcrypt」というアルゴリズムを使ってハッシュ化されており、全てを解読しようと思えば何百年もかかるとも言われていた。

　これに対してCynoSure Primeは9月10日のブログで、Ashley Madisonのbcryptハッシュを効率的に破ることに成功したと報告。同サイトから流出したコードを調べた結果、「2つの興味深い機能」が見つかり、この機能を利用すれば、bcryptでハッシュ化されたパスワードのクラッキングを大幅に高速化できることが分かったと説明した。

　利用したのはハッシュ関数アルゴリズムの「MD5」でハッシュ化されていたログイントークンで、強力なbcryptハッシュを直接クラッキングする代わりに、このMD5トークンのセキュアでないメソッドを突いて攻撃する方法で、10日までに1120万を超すパスワードのクラッキングに成功したとしている。

ハッキングで情報流出した「Ashley Madison」

　Ars Technicaはこの報告について、「完璧なはずの実装も、1つ間違いがあれば台無しになってしまうことが裏付けられた」と解説している。