パスワードを別メールにするメリットは、
- ①全てのメールは同じルートを通る訳ではないこと。だからメールを複数回に分ければそのバラツキの分だけリスクは回避できる。
- ②メールの送信ミスを致命的にしないメリットがある。思い込みで立て続けに送信すると同じ送信ミスを繰り返すこともある。
- 普通は、先に送ったものの受領確認メールを貰ってからパスワードを送る。しかし、このパスワードをメール本文にテキストで入れると監視者に簡単にチェックされてしまうので好ましくない。添付ファイルに記載した方が良い。
ツーデバイス認証の利用
- パスワードはSMSとか音声(普通の電話)とか、別環境を利用すればセキュリティはさらに改善されるのも今や常識。
添付ファイルの扱い
- 外部からの侵入口の1つが添付ファイル。これを開けると感染はよく聞く話。ZIPファイルが例外ではない。取引先とファイルのやり取りをする場合は、サーバーをスルーさせる訳にも行かないから、どうしても例外処理を導入しなければ困ることになる。イージーな企業では、馬鹿なことに添付ファイルのチェックそのものを外してしまう本末転倒をやる。
- ファイル交換はメール添付とは別の方法を導入すべきだろう。
/
実際に、ZIPファイルとパスワードを立て続けに受けることがある。馬鹿な会社だなと思う一方で、そういう扱いのファイルは特に機密でも何でもない。だから、本当に大事なファイルがどのように処理されているか分からない。
/
※
https://www.huffingtonpost.jp/entry/news_jp_5f1ec33cc5b638cfec478eea
NEWS
2020年07月28日 12時39分 JST | 更新 5時間前
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
暗号化ZIPファイルにして送信。その後、メールでパスワードを追いかけて送る。これは「おまじないにしか過ぎない」。さらには「意味がないだけではなく有害だ」と専門家は指摘する。リモートワークでも障害が出る。
暗号化ZIPファイルの誤った使い方
HuffPost Japan
漏洩防止のため、重要なファイルをメールを送付する際、こんなやり方で送っていませんか。ファイルをパスワードを使って暗号化ZIPファイルにして送信。そのあとに、ファイルを開けるための、パスワードを同じメールアドレスに送るーー。銀行や弁護士、大企業なども使っている方法だ。
これは「意味がないだけではなく有害だ」。そう指摘するのは、アイデンティティ管理とプライバシー保護に詳しい「NATコンサルティング」代表の崎村夏彦さんだ。
多くの企業でセキュリティ強化の目的で、ZIPファイルを添付したメールとパスワードの通知をそれぞれ別のメールで送信することを内規などで推奨している。だが、ZIPさえ使っていればセキュリティ強化だと思い込む「盲信」に警鐘を鳴らす。
パスワードを送るのに同じ流通経路のメールを使うと、セキュリティは担保されない。同じ通信経路であるメールでパスワードを送ると、攻撃者がいた場合、同じ通信経路に流れるものは一挙に盗み見られるので、セキュリティは担保されないのだ。
また、ZIPファイル自体は問題ないとされているが、ZIPファイルの暗号化には複数の方式があり、一般に使われている方式は弱い暗号であるため、悪意のある攻撃者に対しては、脆弱だという指摘もある。
パスワードをSMSで送ったり、事前のオフラインで共有したりするなど、メール以外の流通経路を使えば問題はない。ただ、現状そのように周知徹底されることはほとんどないという。
情報処理学会2020年7月号の「さようなら,意味のない暗号化ZIP添付メール」の小特集の中で、ZIPファイルの使い方について、崎村さんらはこのように疑義を唱えた。
実は、ZIPファイル方式の無効性は以前から言われてきたことだ。このやり方が、過去にも様々なところで指摘されても、メールでパスワードを送ることが続いている。崎村さんは「セキュリティやプライバシーの監査基準で、メールなどのデータ転送の際に重要なデータは暗号化するようにと書いてあることを表面上満たすための最も安易な方法として実施されている可能性はある」と指摘する。この日本のZIPファイルをめぐる慣習は、もはや「おまじない」を信じているに過ぎない、という。
さらに崎村さんが「有害」と言う点。それは、メールの添付ファイルを使った攻撃に対して、暗号化されたZIPファイルは、中身がわからないが故に、企業が有害な中身がないかチェックする「マルウェア対策」を無効にしてしまう。そのため、かえって受信者のセキュリティリスクを高めている。
さらに、テレワークが増える今、会社支給のiPadやパソコン以外で仕事をすることも多くなっている。そんな中、デバイスによってはZIPファイルが開かないこともあるという。
受信者にとっては、開けるのに一手間かかるため面倒で、さらに、デバイスによっては開けられない状況に陥る可能性があるZIPファイルは業務の生産性の阻害にもなる。
今多く使われているZIPファイル方式では、2度メールを送るため、誤送信防止の効果があるという見方もあるが、「(2度の送信を)ツールで自動的にやっていたら意味ないですし、誤送信対策であったら、より効果的な方法が他にありますからそちらを採用すべきです」と崎村さんは指摘する。
情報処理学会誌などによると、識者の間ではこのZIPファイル方式を揶揄して、“PPAP”方式と呼ぶ。それは、
PasswordつきZIPファイルを送る
↓
Passwordを送る
↓
Aん号化(暗号化)する
↓
Protocol (データ通信の手順)
だからだ。
識者の間では、PPAP方式が変わらない状況に危機感を覚えているという。「意味のない対策にお金を使ってしまって、本来やるべき対策が疎かになっています。干ばつに備えるには、貯水池と灌漑設備を作らなければいけないのに、そのお金を使って神殿をつくって祈りを捧げるようなもの」と崎村さんは懸念する。
新しい動きも一部にはある。セキュリティ改善のため、ある企業では、外部からの暗号化のファイルは見られなくしたり、ファイルはDropboxやGoogleDriveで利用者認証付きで共有するなど、メール添付ではない方法で受け取るよう指導するところも出てきている。(ハフポスト日本版・井上未雪)
オンラインインタビューに答える崎村夏彦さん=2020年7月
HuffPost Japan
※
