【セキュリティ】カスペルスキーのパスワードマネージャーが生成したパスワードは、総当たりで爆速突破が可能だった！！一体なぜ？

2021-07-15 2021-07-15

カスペルスキーのパスワードマネージャーが生成したパスワードは総当たり攻撃で爆速突破が可能と判明、一体なぜか？

セキュリティ調査企業のLedger Donjonが、セキュリティ企業・カスペルスキーの開発するパスワードマネージャー「Kaspersky Password Manager(KPM)」のプログラムに問題があり、生成されたパスワードが総当たり攻撃に対して非常に脆弱だったことが判明したと発表しました。
KPMの利用者には既にパスワードの更新をするように促すメッセージが送信されており、記事作成時点ですでに問題は修正済みとのことです。

（以下略、続きはソースでご確認下さい）

Gigazine 2021年07月07日 21時00分
https://gigazine.net/news/20210707-kaspersky-password-manager-brute-force/

引用元: ・【セキュリティ】カスペルスキーのパスワードマネージャーが生成したパスワードは総当たりで爆速突破が可能だったと判明、一体なぜか？ [すらいむ★]

2: 名無しのひみつ 2021/07/08(木) 14:44:01.97 ID:Cuy0D0vC

総当りに脆弱もクソもないような

14: 名無しのひみつ 2021/07/08(木) 15:34:53.23 ID:p1wKvJb7

>>2
ちゃんとソース読め

33: 名無しのひみつ 2021/07/08(木) 21:46:23.67 ID:cn5DmiGk

>>14
原文読んでも良く分からんかった
詳しく教えて

36: 名無しのひみつ 2021/07/08(木) 21:50:33.27 ID:dwvUINHE

>>33
パターンがやたら少ない
だから全部試すのにさほど時間がかからない

39: 名無しのひみつ 2021/07/08(木) 21:59:27.79 ID:br9zicpI

>>36
もう一つ問題が指摘されてるよ
一様乱数の積を使っているので、文字の頻度が一様にならない

一様乱数の積は一様分布しない
https://kashino.exblog.jp/12885005/

3: 名無しのひみつ 2021/07/08(木) 14:46:25.07 ID:i1Y8IS61

いや組み合わせがワンパターンとかなら十分あるよ

5: 名無しのひみつ 2021/07/08(木) 14:50:43.26 ID:oTieW80k

生成プログラムが漏れてる！？

6: 名無しのひみつ 2021/07/08(木) 14:52:51.13 ID:97s52l3T

シードがなんちゃら

7: 名無しのひみつ 2021/07/08(木) 14:54:20.61 ID:JPD48cId

パスワード生成アルゴリズムがアレだったんだろ

そもそもカスペルスキーってロシア製だろ
カスペルスキーを使ってる時点でロシア人にパスワード開陳してるも同然

44: 名無しのひみつ 2021/07/08(木) 22:21:48.46 ID:y1X+uk/4

>>7
マッチポンプ？

8: 名無しのひみつ 2021/07/08(木) 14:56:34.54 ID:oTieW80k

じゃあセキュリティソフトは何を使ったらええの？

9: 名無しのひみつ 2021/07/08(木) 14:58:56.77 ID:XGn2rlqz

>>8
自分を信じるんだ!

26: 名無しのひみつ 2021/07/08(木) 19:01:12.19 ID:aaYy+v0P

>>9
マカフィー創業者はこの前自殺したよな

51: 名無しのひみつ 2021/07/08(木) 23:32:41.33 ID:xRQuAEWW

>>26
なんでまた？

10: 名無しのひみつ 2021/07/08(木) 15:01:11.12 ID:c89Ib+C2

ロシアだぞ
プーチンだぞ
KGBだぞ
オマイらのパスワードなんか中共にダダ漏れ

22: 名無しのひみつ 2021/07/08(木) 18:31:44.37 ID:fztoIbxM

>>10
フランスに渡米するわ

11: 名無しのひみつ 2021/07/08(木) 15:01:36.38 ID:xRQuAEWW

こんなに好きにさせといて
カスペルスキーになったはないでしょう

12: 名無しのひみつ 2021/07/08(木) 15:13:04.22 ID:Ni7YXZdH

>>11
なんかツボにはまって笑ってしまったw

21: 名無しのひみつ 2021/07/08(木) 18:29:14.35 ID:dkbf0Ar2

>>11

13: 名無しのひみつ 2021/07/08(木) 15:24:31.33 ID:EIpWGfG8

2年前か
もう今のは修正されてるんだね

15: 名無しのひみつ 2021/07/08(木) 16:35:00.74 ID:X4nSAcs/

パスワードの生成に普通の疑似乱数使うとかそんなセキュリティソフトは捨ててしまえ

16: 名無しのひみつ 2021/07/08(木) 17:08:11.10 ID:aSbuh+Vo

これはパスワード作成時のシステム時間使うから、ただの疑似乱数よりさらに破られやすかった

17: 名無しのひみつ 2021/07/08(木) 18:02:05.80 ID:EXVX36MC

seedが32bitだとどうやっても40億通り？しかないから
時刻以外の情報足してもダメよね
修正済みっていってもどう修正したかが問題

18: 名無しのひみつ 2021/07/08(木) 18:08:10.53 ID:roSnPmMn

この手の脆弱性は20年も前から昔からしてきされてきたことなのに。
乱数の種を時刻などにして乱数列を発生しているばあいに、
そのだいたいの時刻を推量できるばあいには、
その時刻をいろいろと仮定して試してゆけば、
いつか正しい時刻をあてることができて、
その結果として同じ乱数列を再現できる。
乱数列に基づいてパスワードなどを生成していたら
同じパスワードを発見できるのだ。

だから、普通は、単に何かの時刻だけではなくて、
各ユーザーが自分固有のランダムなデーターを
与えてやらなければ、他人に真似されてしまうのだ。

フリーで頒布されているパスワード生成ソフトなどと
いうものを使うのは愚か。もしもその作者が間抜けか
悪意のある奴だったら、パスワード生成ソフトが生成
するパスワードの列が誰にでも再現できてしまうかも
しれないのに。一見ランダムな文字列や数字の列であっても、
同じソフトが同じ文字列あるいは数字の列をどこでも
誰にでも出力するだけのクズソフトかもしれないのに。

20: 名無しのひみつ 2021/07/08(木) 18:23:15.28 ID:Fb1GZ1+m

実は限られた数の候補リストからランダムに選んでいるだけだったりして

23: 名無しのひみつ 2021/07/08(木) 18:35:27.29 ID:YgvyLrYc

トークンのプログラムがばれたみたいな感じか

24: 名無しのひみつ 2021/07/08(木) 18:38:53.38 ID:Feqrtwuo

>>KPMで生成されたパスワードは3億1561万9200パターンしかない

ダメじゃん
そりゃ爆速で突破されるわ

25: 名無しのひみつ 2021/07/08(木) 18:48:00.15 ID:EXVX36MC

秒に換算すると、およそ3億～とか書いてるけど
GetSystemTimeAsFileTime ってWindows内部の18ms単位でカウントしてる
時刻を返すんじゃなかったっけ
そうするとその60倍くらいになる計算だけど
seedが32bitだから40億で頭打ちって感じか

27: 名無しのひみつ 2021/07/08(木) 20:35:50.42 ID:EowdNypC

>>25
まさか分解能が18ミリ秒だと18ミリ秒の倍数だけしか返さないと思ってんのか

28: 名無しのひみつ 2021/07/08(木) 21:00:34.60 ID:rAQ4egOi

カスペだけじゃないと思うぞ

29: 名無しのひみつ 2021/07/08(木) 21:12:45.51 ID:br9zicpI

エントロピープール使うような奴でさえ、十分な乱雑さが得られないことがあるというのに
時刻をシードにした擬似乱数とか馬鹿にしてるのか？

ゲームなんかでも乱数の取り扱いがアホな例よく見かける(サイコロが必ず奇数-偶数と代わりばんこになるとか)
数学理解していないと乱数を取り扱うのは難しい

30: 名無しのひみつ 2021/07/08(木) 21:18:43.62 ID:moCKLl5o

AI「あくまで人間が使うものなんだから人間が破れなければ文句はないでしょ

32: 名無しのひみつ 2021/07/08(木) 21:36:52.71 ID:nUKFjZC2

擬似にしても、実装が不味すぎるに程があるだろ。
せめてIPやらMACやらで、ノード毎に違う値にしておけよ。

34: 名無しのひみつ 2021/07/08(木) 21:50:10.22 ID:u6ITESPM

昔はカスペルスキーやアビラ、ビットディフェンダー、ノートンとかがもてはやされた
なぜなら他社のセキュリティソフトより検出力防御力が頭1つ抜け出てたから
が、マイクロソフトがWindows10を出しそれと連携させ性能を大幅に強化した
Windowsディフェンダーが世に登場するや状況は一変
それまで各有名大手独立調査機関が実施するテストでは最下位の常連だったマイクロソフトが
軒並み上位の成績を出し続けるようになり現在に至っている
またグーグルの幹部がWindowsのPCにWindowsディフェンダー以外を入れることは
馬鹿げているとのコメントを出しサードパーティのセキュリティソフトを入れるのは危険との認識を広めた
最近ではサードパーティのセキュリティソフトは姿を変えていく運命だと予想する専門家も少なくない
https://www.itmedia.co.jp/pcuser/articles/1904/11/news010.html
なお
昔は世界における個人向けPCでのセキュリティソフト占有率1位はアバストであったが
数年前にWindowsディフェンダーにトップの座を奪われ現在は断トツで占有率1位はマイクロソフト標準
法人向けについても昔は全然だったマイクロソフトだったが現在はそちらでもトップの占有率である

43: 名無しのひみつ 2021/07/08(木) 22:19:59.29 ID:QU7QvlWE

>>34
検出力どうこうは10年以上前の話
今から思えば牧歌的なウイルス対策の時代だった
今はほとんど関係ないよ
ファイルそのものを検査したってもはや埒が開かない
別の考え方で守らないと

35: 名無しのひみつ 2021/07/08(木) 21:50:29.03 ID:b34UQS6o

まあその気になったら単なるパスワード系や既存のアルゴリズムの暗号化は絶対割られる
ロシア人が平気でAES256-CBC割ってたときはびっくりしたわ
あいつらスパコン並の演算能力ある端末持ってるんじゃねーの

37: 名無しのひみつ 2021/07/08(木) 21:52:02.33 ID:WNkil5Ei

シードにミリ秒を使わないとか、わざとだろｗ

38: 名無しのひみつ 2021/07/08(木) 21:56:41.05 ID:WNkil5Ei

2011年1月1日時点で、たったの 31,536,000 通りしかない
当時のPCでさえ、総当たりで数秒もかからない
わかってて仕込んだとしか思えない

40: 名無しのひみつ 2021/07/08(木) 22:03:33.84 ID:GwKpm4+5

あなたたち・・・・ぐるだったのね！

41: 名無しのひみつ 2021/07/08(木) 22:13:41.11 ID:4LpGMmi9

TrueCryptもそうなんだろうな

42: 名無しのひみつ 2021/07/08(木) 22:15:28.58 ID:QU7QvlWE

今時12桁は短い、ってのはあるし、セキュリティ会社がやらかすのは外聞悪いが、
実際問題そんなに心配するような脆弱性ではないだろう

証明書パスワードやzipパスワードみたいに
オフライン攻撃を許す状況ならbrute forceを懸念するのもわかるが、
オンライン環境、特にログイン認証周りはbrute forceで破れるようなもんじゃない
だからこそパスワードスプレイングみたいな手法が使われる訳で

64: 名無しのひみつ 2021/07/11(日) 21:56:39.76 ID:PVj41ehd

>>42
何を馬鹿なことを言ってるんだ？
捻ったパスワードDBがあちこちで流出してるだろ
ゆうめいなのではLinkedInとか

45: 名無しのひみつ 2021/07/08(木) 22:28:58.60 ID:fCKNK/tW

元論文のまとめ、
パスワード生成の元となるランダムキャラクターは、C#の
getRandomUInt64やGetRandom32などの組み込み関数を用いている。
この場合、生成される乱数は1-64か1-32なのに対して、数字文字は1-10
となるため、数字のパスワード文字を生成するためには%10で余りを求める。
しかし、この場合、64文字を10文字に変換しているため、変換後の
10文字の乱数には偏在が生じる。実際、カスペルスキーのパスワード
は完全な乱数文字ではなく、変換時に生じる計算処理上の偏在が生じている
ことがわかった。
次に、カスペルスキーは乱数生成関数のシードとして時刻を使用しており、
パスワードが生成された時刻が分かれば、パスワード突破が容易になる。
つまり、NSAクラスの暗号解読技術者がいればカスペルスキーのパスワード
は容易に解読可能。

46: 名無しのひみつ 2021/07/08(木) 22:43:57.76 ID:hQ1fIv+N

十数桁あっても機械的に爆速で総当たりされるのなら
パスワード生成ソフト使っても
“password123456”でもほとんど突破にかかる時間は変わらんのでないの？

52: 名無しのひみつ 2021/07/09(金) 00:07:11.54 ID:F3wsDHQz

>>46
そういうよくあるやつは、リストを持ってて最初に試すから、総当りする前に解かれる。

47: 名無しのひみつ 2021/07/08(木) 22:51:00.02 ID:8QX+S6Pt

こんなの入れてるの個人だろ
あとかなり近しい関係じゃないとこれを
対象者が使ってることを知ることすらできん
スパイ映画みたいな状況でもない限り
攻撃を成功させるのは困難

48: 名無しのひみつ 2021/07/08(木) 22:51:28.08 ID:Fb1GZ1+m

結局パスワード単体でデータを守る時代じゃないんだろうね
面倒だけど多要素認証にしていくしかなさそうだ

49: 名無しのひみつ 2021/07/08(木) 22:52:55.05 ID:fCKNK/tW

元論文のまとめ２、
カスペルスキーのパスワードは突破可能なのか？
カスペルスキーのパスワードは計算処理上の理由により偏在が生じている。
乱数生成アルゴリズムにはこの偏在をなくす手法もあるが、カスペルスキーは
この手法を実装していない。ただし、偏在はあるが、だからと言って
容易に突破は難しい。
次に、カスペルスキーは乱数関数使用時にシステムクロックをランダムシード
に使用している。このため、まったく同一時点に生成されるパスワードは
設定が同一であれば同一となる。カスペルスキーはユーザーインターフェース
に工夫を凝らすことによって、入力されるシステムクロックに数秒のブレを
組み込んでいる。ただし、それでも、同一時刻に生成されたパスワードは、
おおよそ、100個ほどの候補に絞り込みが可能となる。
最初の脆弱性を突破するのは難しいが、システムクロックの脆弱性の突破は
非常に容易。

53: 名無しのひみつ 2021/07/09(金) 00:07:20.80 ID:G+N/gx2M

総当たりさせる時点で駄目だろ・・・
５回ミスったらロックかけろよ

54: 名無しのひみつ 2021/07/09(金) 00:42:17.80 ID:+VJnG41W

>>53
これな

56: 名無しのひみつ 2021/07/09(金) 08:54:54.81 ID:FMc1uIYA

>>53
問題はどっかのサーバからパスワード情報が流出した時で...
解読されにくいものを使うのはもちろん使い回しはやめないと

55: 名無しのひみつ 2021/07/09(金) 03:56:18.44 ID:5g5F6+Jc

遠隔で物理的にサイコロ振って乱数作るシステムはないの？

59: 名無しのひみつ 2021/07/09(金) 09:53:58.10 ID:Hd9mblFM

>>55
今時のCPUには熱雑音を使ったハードウェア乱数生成器が載ってるから、それを使え

57: 名無しのひみつ 2021/07/09(金) 08:59:28.51 ID:kmtIr+sT

ハッシュ関数で作った256ビット程度のハッシュ値の16進文字列（64文字）
であったとしても、ハッシュ関数に与える入力が辞書にあるような
単語などだと、何にも難しくなく破れてしまうのだ。

変換で得られる一見ランダムそうにみえる文字列も、
それを作り出す変換の仕組みが分かっていて、
もともとの入力のランダムさが低ければ、難なく破れる。

61: 名無しのひみつ 2021/07/10(土) 07:02:10.24 ID:Dm/XuSdl

>今時のCPUには熱雑音を使ったハードウェア乱数生成器が載ってるから、それを使え

インテルのやつのだろうが、バックドアが仕掛けて無いとも限らない。
一見ランダムな物理乱数を生成しているようにみせて、カルペンスキーと
同様のことをしていないという保証はない。また検証してみておそらくそう
ではないと判断しても、特定のレジスターに特定のデータを書き込み、
また別の特定のレジスターに特定のデーターを書き込んだという行為を
したときにだけは、物理乱数ではない疑似乱数が生成されるというような
仕組みがないかどうかは、CPUの回路を解析して、マイクロプログラムを
解析して、どういう動作をCPUがするようになっているのかを全解析しな
ければならないから困難だ。たとえ回路に怪しいところがなくても、
CPUに割り込みが掛かってOSに制御が移ったときに、OSが悪さをして
物理乱数から読み取ったはずのデーターを疑似乱数で上書きしていない
かどうかを保証するのはとても困難だ。あるいは乱数レジスターの
内容をどこかにコピーをとって保存していないかなども。
CPUやOSは複雑なので、いろいろと悪さをする余地がある。それを
見破るのは困難。数年前のインテルのCPUの”BUG"といわれてしこまれて
いたものも、その存在を見破るのは簡単ではなかったことからもわかる。