不倫サイトの流出パスワードを解読、強力ハッシュの突破に成功か
解読には何百年もかかると言われていた「bcrypt」のハッシュ破りを大幅に高速化できる方法が見つかり、既に1120万を超すパスワードがクラッキングされているという。
既婚者の不倫を奨励していた出会い系サイト「Ashley Madison」から会員情報が盗まれ、インターネットに暴露された事件で、流出したパスワードの保護に使われていた強力なハッシュを破ることに成功したとして、「CynoSure Prime」というクラッキング集団がブログでその方法を公開した。
この事件ではAshley Madisonに登録していた会員の氏名や住所、パスワードなどの情報が大量に流出した。しかし、パスワードは「bcrypt」というアルゴリズムを使ってハッシュ化されており、全てを解読しようと思えば何百年もかかるとも言われていた。
これに対してCynoSure Primeは9月10日のブログで、Ashley Madisonのbcryptハッシュを効率的に破ることに成功したと報告。同サイトから流出したコードを調べた結果、「2つの興味深い機能」が見つかり、この機能を利用すれば、bcryptでハッシュ化されたパスワードのクラッキングを大幅に高速化できることが分かったと説明した。
利用したのはハッシュ関数アルゴリズムの「MD5」でハッシュ化されていたログイントークンで、強力なbcryptハッシュを直接クラッキングする代わりに、このMD5トークンのセキュアでないメソッドを突いて攻撃する方法で、10日までに1120万を超すパスワードのクラッキングに成功したとしている。
Ars Technicaはこの報告について、「完璧なはずの実装も、1つ間違いがあれば台無しになってしまうことが裏付けられた」と解説している。
関連記事
- 不倫サイトから盗まれた会員情報、ネットに暴露
ネットで公開されたのは、Ashley Madisonに登録していた会員の氏名や住所、クレジットカードなどの情報と見られ、3300万人あまりの会員が影響を受けた可能性があるという。 - iPhone 5sの「指紋認証破り」を実証、独のハッキンググループ
iPhone 5s本体表面のガラスに付着したユーザーの指紋を取り出して「TouchID」で認識させ、iPhone 5sのロックを解除することに成功したという。 - 「秘密の質問」が突破される確率は? Googleが調査
例えば米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.