PST のパスワードとセキュリティ


Outlook には、PST にパスワードをかける機能があります。
昨今の情報漏洩問題などに備え、セキュリティを高めるという意味ですべての PST にパスワードをかけて運用されているという方もいると思います。

しかし、残念ながら、PST のパスワードでセキュリティはほとんど強化されません。
これについては、マイクロソフトの技術情報でも以下の通り明記されています。

4.2 Strength of PST Password

The PST Password, which is stored as a property value in the message store, is a superficial mechanism that requires the client implementation to enforce the stored password. Because the password itself is not used as a key to the encoding and decoding cipher algorithms, it does not provide any security benefit to preventing the PST data to be read by unauthorized parties.

Moreover, the password is stored as a CRC-32 hash of the original password string, which is prone to collisions and is relatively weak against a brute-force approach.

https://msdn.microsoft.com/en-us/library/ff387042(v=office.12).aspx より

セキュリティに役立たない理由は二つあります。

一つ目は、パスワード自体が PST の暗号化に関わっていないということです。
一般にパスワードがかかったファイルは、そのパスワードをキーとした暗号化が行われており、パスワードがなければファイルのデータを読み取ることができないようになっています。
しかし、PST の場合、そもそも一般的な意味での暗号化 (※1) はされていません。
そのため、パスワードがわからなかったとしても、PST のデータ フォーマット (※2) を理解していれば、データの解読ができます。

二つ目は、パスワード自体の暗号化が弱いということです。
PST のパスワードは、元のパスワードをもとに CRC-32 というアルゴリズムで生成したハッシュコードを PST に格納し、ユーザーが入力したパスワードのハッシュと照合して認証するという仕組みになっています。
しかし、CRC-32 では正しい文字列以外でも同じハッシュ コードになる文字データの組み合わせが存在し、総当たり攻撃という手法で簡単に突破できるものです。
PST の仕様が定められた 20 年前にはこの方法でもセキュリティはある程度保てていたのかもしれませんが、現在のコンピュータ環境では数秒で正しいパスワードと認識されてしまう文字列が生成可能であり、実際にサードパーティからは PST のパスワードを解読するツールがリリースされています。

したがって、例えば家庭内で子供がアクセスするのを防ぎたいというような程度のセキュリティには使用できると思いますが、企業において情報漏洩を防ぐためという目的では全く無力なものあり、そのような目的には Windows の暗号化ファイル システム (EFS) や BitLocker を使うべきでしょう。

※1: ユーザーデータについては一定のアルゴリズムで暗号化されています。しかし、キーなしの暗号化方式であり、暗号化のアルゴリズムがわかってしまえば解読できるものであるため、暗号化というより難読化と呼ぶべきものです。これについての詳細は https://msdn.microsoft.com/en-us/library/ff386520(v=office.12).aspx で説明されています。
※2: PST のデータ フォーマットは https://msdn.microsoft.com/en-us/library/ff385210(v=office.12).aspx で公開されています。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中