【ファイル送信】「ZIPで送ります。パスワードはあとで送ります」は何故ダメなのか 代替策は? [ばーど★]
■ このスレッドは過去ログ倉庫に格納されています
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。
暗号化ZIPファイルの中にあるディレクトリ構造やファイル名は確認できてしまう
この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。
freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。
プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール添付のファイル送信について」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。
ところで、世論の動向を受けてパスワード付きZIPファイルの添付をなんとなく「悪いこと」であるとは理解しつつも、厳密に「何が悪いのか」を説明できる人は少ないように思えます。セキュリティは対策手法だけでなく「なぜその方法が有効か」を学ぶことが重要です。本稿でパスワード付きZIPファイルの添付をやめる意味を考えてみましょう。
■パスワード付きZIPファイルは無意味? 3つの理由を説明
当たり前ですがパスワード付きZIPファイルは、パスワードがなければ開けないため、パスワードを知られなければ誰にも見られません。しかしWindowsでパスワード付きZIPをダブルクリックすると、パスワードなしでディレクトリ構造やファイル名を確認できます。この点だけでもパスワード付きZIPファイルは、完全な「暗号化」ではないと理解できると思います。
パスワード付きZIPファイルは、パスワードを知らなくても入力を何度でも試行できる点にも注目しましょう。通常のWebサイトであればパスワード入力が何度も実行された場合、ロックをかけることも可能です。一方でZIPファイルは、パスワードを総当たりすればいつかは解除できてしまう可能性がありますし、ZIPパスワードを無理やりこじ開けるアプリも数多くリリースされています。
最も深刻な問題は、メールのセキュリティ機構をすり抜けることです。企業が導入するようなメールのセキュリティソフトは、メール本文に書かれたURLや添付ファイルのスキャンを実施します。
セキュリティソフトの中には、マクロを含む「Microsoft Word」ファイルだった場合、マクロにマルウェアが仕込まれているかどうかを直接スキャンして確かめたり、ZIPファイルの中身を展開してスキャンしたり、実行ファイルをサンドボックスで疑似的に実行させて挙動を見たりするものもあります。
一方でこれらのセキュリティソフトは、パスワード付きZIPファイルを展開できなかったり、中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。攻撃者にとってここが絶好の「穴」です。実際にマルウェア「Emotet」の感染拡大手法においては、パスワード付きZIPファイルを利用した攻撃事例も観測されています。
以上の理由からZIPファイルは、パスワードを付けずに添付して送信した方がむしろ安全かもしれません。しかし、その際には「誤送信」のリスクも発生するため、それに向けた対策を講じる必要があるでしょう。
■重要なのはやめることではなく「何に代替するか」
パスワード付きZIPファイルの添付をやめることは大切ですが、問題はその後どうやってファイルの送受信を実施するかです。これについては、デジタル相やfreeeも触れていません。JIPDECは「送信先や取り扱う情報などを踏まえてリスク分析を実施した上で、必要かつ適切な安全管理措置を講じてほしい」という表現にとどめています。
以下ソース先で
11/24(火) 7:15 ITmedia エンタープライズ
https://news.yahoo.co.jp/articles/eb05cb22f4a329a689fb4840023af6c1fef69f23?page=1
https://image.itmedia.co.jp/enterprise/articles/2011/24/kt2487_k_fig01.jpg
関連スレ
【PPAP】内閣府など、パスワード付きzipのメール送信を廃止 平井デジタル相「(パスワードを)電話で教える」 ★2 [雷★]
https://asahi.5ch.net/test/read.cgi/newsplus/1606232999/ あとで送りますってのをパスワードにすれば以外と突破されない気がする >>1は読もうよ
パスワードの送り方の話じゃないぞ ??:画像も貼らずにスレ建てとな!?
「ZIPファイルを所望する」 どっかの企業が間違って送信したzipを無理やり開けたら契約書だった パスワード付きZIPはセキュリティーソフトでスキャンしてくれないから危険
という話でしょ 秘密のZIPファイルを公開します
パスワードはいつもの zip便利だったなぁ
フロッピーよりはるかにたくさん保存できて
読み込みも速い
ドライブは安いけど
ちょっと高いのが難点 >平井デジタル相「(パスワードを)電話で教える
この人、馬鹿なの? >>2
ああいうのって、送ってるほうも無意味とわかってて社内規定だからやってるだけじゃないの?
いつもノーガード添付で返信してるけど、いつか「あなたセキュリティーが甘いです」とか言われるのかな >問題はその後どうやってファイルの送受信を実施するかです。
当然だよな。リスクと利便性はトレードオフ関係にある。
まさかCDに焼いたりUSBメモリを郵送しろってわけじゃあるまい。 メール送信後に到着確認と同時にパスワードを口頭で伝えるのが正解
ビジネスマナー検定にも出題されてる 代替はダイタイって読むんだぞ。
ダイガエじゃないからな。 今時ZIPのパスワードなんて数秒で割れるんじゃないのか? まずZIP形式が良くない
パスワードは事前に取り決めしておく←大事
あとパスワードをパスって略すのは禁止な >>41
Dを「デー」というような
聞き間違い防止だからあんまりでドヤっても恥ずかしいぞ 記者も最後で指摘してるけど
今までそういう運用がされていたのはそれが必要だったからだろ?
これからファイル送付するのどうするの?
代替を用意しないで業務フローの一部を一方的に禁止にするとかこのデジタルなんちゃら大臣って馬鹿なの?
そういえば外務大臣も、外国人参政権を導入しますとか日本を多民族国家にしますとか大臣の名前で宣言してたけど
この政権ちょっとやばいんじゃないの?
民主党政権以上にグチャグチャになるだろ パスワードは私の携帯番号ハイフン抜きです
というのはやっていた
もちろんメールのどこにも書いていない
普段から別途連絡をやり取りしている者とだけ成立する方法 >>32
パスワードを別経路で伝達するのは
同じメールで送るよりセキュリティ上よっぽど良いぞ 同じアドレス宛にほぼ同時に送られてくるよな
その時点で手間だけかかって意味ないと思うが zipはファイルをひとつにまとめるためにしか使ってないや 余った食材をZIPに入れただけで送らないでください。ちゃんと段ボールに入れてプチプチで巻くとさらにグー。丸めた新聞紙でもいいですけどね。 パス付きZIPをメールで送る慣習なんて初めて知ったわ。
盗聴されてるならパスワードの方も受信してるだろうし。
意味分からん。
不便なだけ。 >>37
「パスワードはanal extensionです、復唱してください」 >>43
モノによる
数字アルファベット込み8文字以上ならパソコンなら年単位の時間がかかる
量子コンピュータなら一瞬らしいが >>53
マジで文系脳セキュリティ手法ここに極まれりだと思ったけど
そもそも弊害のほうが多いとかさすが文系大国 >>5
Windows95の時代に買えた、フロッピーディスクに変わるメディアだよ
主にパラレルポートやSCSI接続だった
って言っても、知らんよね?w >>57
対外に情報保全ちゃんとやってますってアピールするためのものだから >>57
取引先による。ITリテラシーの低い大手がやってる印象
送ってるほうの事情は知らんが、多分自動でパスワードだけ別送するシステムじゃないかな
受け取るほうは数が多くなると鬱陶しくなってくるね 暗号とかパスってのは共通認識あってこそだろ
教師とか便利な言葉だわw zipのパスはパスワードによっては破られる可能性あるからな。
辞書にあるような文字列だと破られる。
数字4文字とかも破られる。 >>64
大したことない文書にこちらでちょこっと修正入れて、ノーガードで送り戻してる >>52
パスは総当りで解除できる
マルウェアが探知出来ないほうが怖いしそれを利用した攻撃事例がある
だからパス掛けんなって記事だ >>1
ノーガード戦法で誤送信対策する方が早いんじゃないの? 「絶対に破られない暗号」だけに用途があるわけじゃない。
実際のドアでも「入室禁止」の貼り紙だけの場合もあるし、
合鍵が作れない錠のドアもある。
どちらも利用価値がある。 「スマホを落としただけなのに囚われの殺人鬼」で使われた手方だけど
喫茶店とかの野良無線LAN使うとメールを盗聴される可能性あるんだよな。
有線LAN使えよ。 まぁアクセス権限つけたNAS、プライベートクラウドに格納すんのが良い。 拡張子のzi_をzipに変更してから展開してください。 >>73
内鍵を外側につけてるだけのような気がする
「外から自分で鍵あけられますのでそのまま入って下さい」的な 電子メールって20年以上前から暗号化されてないのがセキュリティー上問題だって言われてたよな。
ノーガード戦法だからな。
PGPっていうのがあったが面倒なので誰も使わず全く普及しなかった。 昔とある有名コンピュータメーカーに資料をまとめてzipで送ったらWordで開けないんだけどってお叱りの電話がかかってきたな 毎回パスワードを送るのを辞めればいいんだよ
なんで毎回変更する必要がある マスクと一緒で
対策してました、って既成事実な責任逃れの免罪符が必要なだけで
実際の効果なんてどうでも良い話だよ。
みんな最初から分かってるだろ >>1
ZipドライブついたMacintoshあったなー 俺もMOの256Mをよく使ってたな
ZIP、JAZZ、PD、スーパーFD、もっと泡沫メディアがあるかもね、規格乱立の印象 まぁ今の時代じゃ知らん人多いのも無理ないだろうが
zipやrarなんかのパス解析ツールは総当たり方式なんで
ランダムかつ文字数が一定以上なら現行のスパコンだろうともそう簡単には割られない
8桁の数字、とかだと速攻で割られるが
ちょい前まであまり推奨されてこそいなかったが
本命ファイルをpassつきzipにしてそのzipをもっかいpassつきzipで圧縮する
っつー所謂二重圧縮とかやってるとこそこそこあったと思うんだが
やっぱ手間だし流行ったりはしないのかね?
本命ファイルの方にMD5とCRC32とかも分かるようにしときゃある程度精度高いし
前時代的ではあるけどさ 「これからメールを送るんでメールアドレスをファックスで送ってください」って上司が電話してたぞ パスワードは132
「パスワードは秘密です」と言えば絶対バレない 役所からのメールが全部これでいちいち開くのめんどくせえ ■ このスレッドは過去ログ倉庫に格納されています