Adobeから流出した暗号化情報は実際に復号が可能な模様

Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用ITmedia ニュース”という記事を何気なく開いて読みました。それによると、

流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。

とのことで…。あれ? なんでわかったんだろう、と思いつつ先に読み進めていくと、

集計できた理由としてSCGのジェレミ・ゴスニー最高経営責任者(CEO)は、「Adobeがハッシュよりも対称鍵暗号を選び、ECBモードを選択し、全てのパスワードに同じ鍵を使っていたことや、ユーザーが平文で保存していたパスワード推測のヒントがあったおかげ」だと説明している。

なんてことが書いてあります。総合してざっくり言うと、「暗号化されている情報?あれは復号できたよ?」っていう話のようです。暗号キーが固定であり、絶対使っているであろうパスワードから逆算して暗号キーを割り出したのだろうと思われます。つまり、悪意を持った第三者も同じことができる可能性があるということです。

さて、その使われていたパスワードのトップ10を引用します:

順位 パスワード内容 利用者数
1 123456 約190万人
2 123456789 約44万6000人
3 password 約34万6000人
4 adobe123 約21万人
5 12345678 約20万人
6 qwerty 約13万人
7 1234567 約12万4000人
8 111111 約11万4000人
9 photoshop 約8万3000人
10 123123 約8万3000人

ううーむ。類推しやすいものを使用している方、結構いらっしゃるんですね。

今回の流出情報からパスワードを復号できているようですから、よそでもAdobe IDと同じパスワードを使用している人は、必ずすべてのパスワードの変更が必要です。

関連記事

2013年11月13日追記

Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか徳丸浩の日記」によると、復号のための共通カギが逆算されたのではなく、平文で保存されていたヒントから類推可能なパスワードから導き出された暗号データを元に分析したとのことです。