PC・インターネット

【ファイル送信】「ZIPで送ります。パスワードはあとで送ります」→何故ダメなのか?

1:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:54:49.10 ID:0cSw+r4D9

平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。

暗号化ZIPファイルの中にあるディレクトリ構造やファイル名は確認できてしまう

この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。

freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。

プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール添付のファイル送信について」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。

ところで、世論の動向を受けてパスワード付きZIPファイルの添付をなんとなく「悪いこと」であるとは理解しつつも、厳密に「何が悪いのか」を説明できる人は少ないように思えます。セキュリティは対策手法だけでなく「なぜその方法が有効か」を学ぶことが重要です。本稿でパスワード付きZIPファイルの添付をやめる意味を考えてみましょう。

■パスワード付きZIPファイルは無意味? 3つの理由を説明

 当たり前ですがパスワード付きZIPファイルは、パスワードがなければ開けないため、パスワードを知られなければ誰にも見られません。しかしWindowsでパスワード付きZIPをダブルクリックすると、パスワードなしでディレクトリ構造やファイル名を確認できます。この点だけでもパスワード付きZIPファイルは、完全な「暗号化」ではないと理解できると思います。

 パスワード付きZIPファイルは、パスワードを知らなくても入力を何度でも試行できる点にも注目しましょう。通常のWebサイトであればパスワード入力が何度も実行された場合、ロックをかけることも可能です。一方でZIPファイルは、パスワードを総当たりすればいつかは解除できてしまう可能性がありますし、ZIPパスワードを無理やりこじ開けるアプリも数多くリリースされています。

 最も深刻な問題は、メールのセキュリティ機構をすり抜けることです。企業が導入するようなメールのセキュリティソフトは、メール本文に書かれたURLや添付ファイルのスキャンを実施します。

 セキュリティソフトの中には、マクロを含む「Microsoft Word」ファイルだった場合、マクロにマルウェアが仕込まれているかどうかを直接スキャンして確かめたり、ZIPファイルの中身を展開してスキャンしたり、実行ファイルをサンドボックスで疑似的に実行させて挙動を見たりするものもあります。

 一方でこれらのセキュリティソフトは、パスワード付きZIPファイルを展開できなかったり、中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。攻撃者にとってここが絶好の「穴」です。実際にマルウェア「Emotet」の感染拡大手法においては、パスワード付きZIPファイルを利用した攻撃事例も観測されています。

 以上の理由からZIPファイルは、パスワードを付けずに添付して送信した方がむしろ安全かもしれません。しかし、その際には「誤送信」のリスクも発生するため、それに向けた対策を講じる必要があるでしょう。

■重要なのはやめることではなく「何に代替するか」

 パスワード付きZIPファイルの添付をやめることは大切ですが、問題はその後どうやってファイルの送受信を実施するかです。これについては、デジタル相やfreeeも触れていません。JIPDECは「送信先や取り扱う情報などを踏まえてリスク分析を実施した上で、必要かつ適切な安全管理措置を講じてほしい」という表現にとどめています。

以下ソース先で

11/24(火) 7:15 ITmedia エンタープライズ
https://news.yahoo.co.jp/articles/eb05cb22f4a329a689fb4840023af6c1fef69f23?page=1


関連スレ
【PPAP】内閣府など、パスワード付きzipのメール送信を廃止 平井デジタル相「(パスワードを)電話で教える」 ★2 [雷★]
https://asahi.5ch.net/test/read.cgi/newsplus/1606232999/



元スレ https://asahi.5ch.net/test/read.cgi/newsplus/1606258489/

2:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:55:25.88 ID:XC/ZZ38A0

ノーガード戦法で


23:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:04:51.11 ID:B7Wg5Os30

>>2
それでいいよな



34:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:09:15.92 ID:Ns4UfM0/0

>>2
ああいうのって、送ってるほうも無意味とわかってて社内規定だからやってるだけじゃないの?
いつもノーガード添付で返信してるけど、いつか「あなたセキュリティーが甘いです」とか言われるのかな



3:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:55:46.13 ID:ESWTaUVt0

有能「パスワードをzipで送りました」


70:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:23:57.01 ID:w8iqnGz10

>>3
解凍どーすんのwwww



4:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:57:03.47 ID:OkeYFItb0

電話はソーシャルエンジニアリングの餌食になるだけ


6:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:58:23.88 ID:dur+XvHh0

ZIPつかわないで


7:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:58:30.68 ID:7WL4kAE10

パスワードはFAXで送るのが正解


8:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:58:32.57 ID:8Pnvsw8M0

パスワードはテレパシーで送れよ


10:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:58:53.27 ID:G0jerhlc0

佐川で送れば安全


11:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:59:02.73 ID:8+u88wa10

あとで送りますってのをパスワードにすれば以外と突破されない気がする


14:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 07:59:51.00 ID:S3+CgZww0

クラウドでやれよもう


15:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:00:37.78 ID:wjgXri/d0

手間かかるけど、物理ディスクを書留郵送が確実だな


22:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:04:16.92 ID:Dan4Bke2O

秘密のZIPファイルを公開します
パスワードはいつもの



25:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:06:13.99 ID:9HGWdn0f0

中身丸見えでも構わないならzipでいい


28:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:07:02.81 ID:CjN201L00

解析ツール出回ってたような気がする


29:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:07:19.91 ID:xDweKhUg0

パスワード付きPDFならいいの?って言う


31:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:08:21.50 ID:CjN201L00

官庁用のクラウド用意すればいいんじゃないの?


43:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:12:47.05 ID:vLFlTAd80

今時ZIPのパスワードなんて数秒で割れるんじゃないのか?


59:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:18:07.75 ID:sJBdmbA90

>>43
モノによる
数字アルファベット込み8文字以上ならパソコンなら年単位の時間がかかる
量子コンピュータなら一瞬らしいが



44:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:13:17.42 ID:wCpAaYa90

まずZIP形式が良くない
パスワードは事前に取り決めしておく←大事
あとパスワードをパスって略すのは禁止な



48:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:13:55.74 ID:Emis5dkC0

先に送る
一緒に送る
パスは今日の6



54:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:15:26.82 ID:5EX/88Pe0

zipはファイルをひとつにまとめるためにしか使ってないや


64:名無しさん@2ろぐちゃんねる : 2020/11/25(水) 08:20:10.09 ID:cZ0LtZ3p0

大したデータでもないのにパスつけて送るやつ


コメント

メールアドレスが公開されることはありません。