アルブミン上昇!、はやしです。
パスワードを別メールで送ります、の意味のなさ
freeeがメールによるパスワード付きファイルの受信を廃止しました
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に
「パスワード付きZIPファイル」の送信ルールを廃止する
方針を明らかにしました。
政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。
パスワード付きZIPファイルを送り、
そのすぐ後にパスワードを平文で送りなおす、
というメールなんですが、
ひと手間かかって邪魔くさいし、
メールを盗聴されていたら意味がありません。
というものです。
一体なぜダメなのか
「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
を抜粋すると、
1、何度もパスワードを試行できてしまう
通常のWebサイトであればパスワード入力が何度も実行された場合、ロックをかけることも可能です。
一方でZIPファイルは、パスワードを総当たりすればいつかは解除できてしまう可能性がありますし、ZIPパスワードを無理やりこじ開けるアプリも数多くリリースされています。
2、セキュリティソフトでスルーされてしまう
セキュリティソフトは、パスワード付きZIPファイルを展開できなかったり、中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。
攻撃者にとってここが絶好の「穴」です。実際にマルウェア「Emotet」の感染拡大手法においては、パスワード付きZIPファイルを利用した攻撃事例も観測されています。
と書かれており、完全に意味がない、
とは言っていないまでも、かなりダメな証拠を上げています。
誤送信のリスクとありますが、
ZIPファイルにマルウェアが入っている可能性を考えれば、、、、
よほどそちらの方がリスクです。
受け取った側の手間
パスワードをコピペしたり、
一旦ファイルを保存・展開したらデスクトップじゃなくどこかに展開されてしまった、、、、
なんてことも起こり得て、
受け取った側は手間です。
操作している時間も無駄です。
一人1分の手間がかかったとして、
10事業所、
100事業所、
1000事業所
あれば合計での手間が1000分全体としてかかるわけで、
送信側の手間を減らせばこういう余計な手間が減るわけです。
福井の専門家のご意見
反面、情報セキュリティ専門家、
まるおかディジタル・佐藤氏は
パスワード付きファイルのメール送信を擁護しています。
暗号化された添付ファイルとパスワードを別メールで送る、は無意味か
「暗号化ファイルメール送信」の擁護をこの流れ(2020年11月)で投稿
このように、
社長ブログにパスワード付きファイル送信についていろいろと書いて下さっています。
(リンク貼ってあります)
ので、そちらもご覧ください。
代替案がないからその方法はダメと言えない
のはおかしい話で、
手間がかかっている、
全体で無駄を出している、
セキュリティ面で意味がない、
のであれば、即刻やめないといけません。
代替案がないからダメとは言えない、理由にはならないです。
無意味、そこまではっきり言う理由とは。
先日、行政からパンフレットが送ってきました。
福井県にUIターン就職する、
理系学生の奨学金返還を応援します、
というもので、
ホームページにも大々的に掲載され、
余裕でダウンロードできますよ!!!
と書いてありますが、、、、、
この案内のメールが、
暗号化を解除する為のパスワードをお知らせします。
【対象メール情報】
送信日時:2020/12/07 16:33
題名 : (周知依頼)UIターン者向け奨学金返還支援制度の募集につきまして
【暗号化ファイル名】
fukui202012071641361.zip
【パスワード】
(一応ナイショ)
This password will unlock the password protected files.
パスワード付きZIPファイルとなっており、
これどころか、
介護保険Q&Aや、
一般的な案内や、
パスワード付けなくていいでしょ!って思えるメールすべてが
パスワード付きZIPファイルになっているのです。
平井デジタル庁長の手元に届いた、
政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見
とは、こういった、
・セキュリティ関係ないものをパスワード付きZIPファイルで送るとか、
(真偽はわかりません)
さらに個人的に付け加えると、
・ファイルサイズが5M超えるものをメールで送るとか、
(グループウェアで受信できずすぐ見れませんでした)
だから無意味!!!!(怒怒怒怒怒)
と言っているわけです。
セキュリティ関係ないんだから、
セキュリティ関係者や専門家を巻き込むな!
そういうわけです。
あ、佐藤氏は独身ですから、
会いたい方がいたらご紹介します(笑)。
少し○○なところがありますが、
普通に紳士ですよ!
ちなみに
送信側の「誤送信」のリスクに対処する
には、こういう方法があるでしょう。
テスト送信メールと、本番メールと分けて、
1、テスト送信メールを一括送信する
30分~1時間後に送信した内容を確認・精査して
2、本番メールを一括送信する
で、「誤送信」のリスクに対応できます。
何もパスワード付きZIPファイルを使う必要はないわけです。
パスワードを別経路で送る
専門家の方々がいろいろと言っていますが、
本当に重要なメールであれば、
パスワードをメールでなく、
別経路で送る必要があり、、、この方法がにから困っているわけです。
ならば、
・企業側も受診するアドレスは1つに限定し、
・クラウドストレージの案内をし、パスワードがないとダウンロードできないようにする。
(添付ファイルは行わない)
・きちんと申請した事業所にはワンタイムパスワード発行用の機械を配布
・1社1台とする
ジャパンネット銀行のように、、、
これで無意味なパスワード付きZIPファイルを送ることが減るでしょう。
これでも100%防げることはありません。
って言ったって人が悪意を持っている限りは、
100%防ぐなんて無理です。
いかにパスワードを別経路で送るか、
で考えた場合の対処方法です。
ってここまでフルパワーで書いたら、
パスワード入力するの手間だから、
介護の手間で考えると、
なんて話を書こうと思ったけど、、、、
そこは次回で♪
コメントを残す