Personal tools

Views

MD5破りにGoogleを活用

written by ultraviolet on Thursday, November 22nd, 2007 at 7:16 add to b.hatena Hatena Bookmark add to del.icio.us

あまり感心しない用途だとは思われますが、MD5 Hash 値を逆変換したい、と思ってる人に朗報です。Hash 値を Google で検索してみてください。結構な確率でヒットするそうな。つっても Salt 無しの場合だけですけど。

という話が、ケンブリッジ大コンピュータ研の Light Blue Touchpaper という blog で紹介されてます。

この blog は今月上旬にクラッカーに侵入されてしまって、blog 管理者の Steven Murdoch がその調査をしてたんですが、クラッカーがこの blog (WordPress) 上にアカウントを作ってたんだそうです。当然 WordPress の DB には、そのアカウントのパスワードが MD5 で hash 化された形で残ってます。WordPress はパスワードの暗号化に salt を使わず MD5 直のハッシュ値を使ってて、これはセキュリティ的にいろいろと問題だったりもするんですが、まあとにかく MD5 の逆変換さえできればクラッカーの設定したパスワードがわかる、ってんで、Murdoch は逆変換しようとしたんだそうな。

普通だったら強力なコンピュータパワーを使って辞書攻撃をかけるとこで、彼も最初はそうしたらしいんですが、すぐに嫌気がさして、hash 値をそのまま Google で検索してみたんだそうな。頭いいな。そしたら、見事に引っかかった! それも何件も!
そして検索結果に共通することとして、いずれも “Anthony” という語に関係あるサイトだった… これはとひらめいた Murdoch は、さっそくこの語を MD5 で変換してみます。そしたら見事どんぴしゃ。

種を明かすと、単語をMD5でhash化した値をURIの一部に使うような CMS がけっこーあるんだそうです。つまり、世界中でそういう CMS が使われてるってことは、世界中で MD5 変換データがせっせと作られてて、さらに Google がその変換データを検索しやすいようにせっせと indexing しててくれてる、という、分散コンピューティングと言うか web 2.0 と言うか集合知と言うかまあなんかそんな感じの素晴らしい状況が作り出されてるわけですな。

この話を紹介している New Scientist Blog では、次のように話を結んでます。検索エンジンが強力になれば、それまで見逃されていたソフトウェアの脆弱性が表面化するわけで、プログラマやコンピュータ管理者はそのことを忘れてはならない。

Tags: , , ,

Related Posts

You can follow any responses to this entry through the RSS 2.0 feed.
You can leave a response, or trackback from your own site.
Trackback URI: http://wordpress.rauru-block.org/index.php/1512/trackback

6 Responses to “MD5破りにGoogleを活用”

  1. trackback from 医者を志す妻を応援する夫の日記
    November 22nd, 2007 at 13:10

    [IT]MD5を解読する方法…

    MD5で暗号化された文字列を解読して元に戻します。あくまで「復号化」ではなく「解読」です。復号化するアルゴリズムは存在しないらしいので。 面白いのがこちらのやり方。 Rauru Blog &…

  2. pingback from links for 2007-11-22 « 個人的な雑記
    November 23rd, 2007 at 7:25

    [...] Rauru Blog » Blog Archive » MD5破りにGoogleを活用 (tags: google security md5) [...]

  3. trackback from 名言で読む「はてな」
    November 29th, 2007 at 11:32

    恐るべき検索…

    検索エンジンが強力になれば、それまで見逃されていたソフトウェアの脆弱性が表面化するわけで、プログラマやコンピュータ管理者はそのことを忘れてはならない。 Rauru Blog ? Blog Archive…

  4. trackback from へ〜たのめも
    December 28th, 2007 at 13:25

    Google で MD5 クラック…

    Rauru Blog ? Blog Archive ? MD5破りにGoogleを活用

    ものは試しで、foo とか hoge とかよくありそうな文字列のハッシュを検索してみたら、確かに山のようにひっかかる。ま、言われてみればそりゃ…

  5. pingback from » Rauru Blog » Blog Archive » MD5破りにGoogleを活用
    June 2nd, 2008 at 10:26

    [...] Rauru Blog » Blog Archive » MD5破りにGoogleを活用 Last 5 posts in インスパイアされたKanji.Fandomがfacebookアプリに対応しました – May 23rd, 2008やれば出来るよ!石油に頼らない社会作り – May 21st, 2008レンタルビジネスだけど見逃しちゃいけない結局買ってもらえるかもな確率 – April 10th, 2008MOONGIFT: » 離れた場所でもiTunesを共有する「Mojo」:オープンソースを毎日紹介 – March 26th, 2008死んだ後にせっかく作ったコンテンツはどうなるか?>POLAR BEAR BLOG: 寺をIT化せよ – March 11th, 2008 [...]

  6. pingback from [bookmark]MD5 破りにGoogleを活用- 犬や猿に分かるわけないだろ!コンピュータ・プログラミングHowTo
    March 21st, 2010 at 21:27

    [...] http://wordpress.rauru-block.org/index.php/1512 [...]

Leave Your Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

« Back to text comment