このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。・名称…ophcrack・分野…オフラインパスワードクラッカー(ハッシュクラッカー)・配布制限…GPL・商用版の有無…無・公式 URL … http://ophcrack.sourceforge.net/・対応OS … LiveCDのため対応OSは無し(1) 基本項目と概要前回は、時間と空間のトレードオフを実現し、高速にパスワード解析を行う「Raibow Crack」を紹介した。しかし、前回も解説したように「Rainbow Table」でパスワード解析を行うには事前に膨大な「Raibow Table」を用意する必要があるため、「すぐにでも使用してみたい」という場合には、敷居が高くなる。そこで、今回はCD-R1枚を用意し、ライティングするだけですぐ様、誰でも「Raibow Crack」が使用することができる(註1)LiveCD「ophcrack」を紹介する。ペネトレーションテストの現場で使用することは、ごく稀であるが、前回からの関連性でこのツールにもふれておきたい。(註1)「ophcrack」で解析可能なパスワードは「LMハッシュ」で保存されている「英数字」のみで構成されたパスワードである。(2) コマンドサンプル「ophcrack」は前述した通りLiveCDであるため実行するコマンドといったものは特に存在しない。先に実行方法を言ってしまうが、「ophcrack」が収められたCDをトレイに入れてCDブートをさせ、後は放っておくだけである。それでは、CDの準備である。こちらも普段CD-Rにデータを書き込んでいる人には造作もない作業だろう。http://sourceforge.net/project/showfiles.php?group_id=133599上記URLからISOイメージをダウンロードし、ライティングソフトを利用してCD-Rに書き込むだけである。(ライティング方法に関してはお持ちのライティングソフトのマニュアルを参照してほしい。)CDの作成が完了したら、そのCDを使用してパスワード解析を行いたいマシンのトレイに入れCDブートを行う。この際に気をつけて欲しいのはBIOSで…【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】──※ この記事は Scan購読会員向け記事をダイジェスト掲載しました購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
