添付ファイルZIP暗号化のパスワードには要注意

株式会社エアー 黒岡 聖登

皆さんは日々の業務の中で数多くのメールのやり取りを行っていると思います。
それらのメールの中にはファイルを添付しているものも珍しくはないでしょう。
多くの会社では「添付ファイルはZIP暗号化」すると言うルールが定められているのか、
添付ファイルの大半はZIP暗号化されてやり取りされているように感じます。

しかし「添付ファイルはZIP暗号化」と言う社内ルールは存在していても、
その運用に関してはそれぞれの社員に一任しているものも少なくはないようです。
その結果、会社がルール制定にあたり期待したであろう「添付ファイルを守る」と言う効果が十分に発揮されていないケースがあります。

例えば、添付ファイル付きのメール本体にパスワードが記載されているケースや、
添付ファイル付きメールとそのパスワードを記載したメールが同時に届くようなケースは、決して珍しいものではありません。
「添付ファイルはZIP暗号化」と言うルールは満たせていますが、
残念ながらこのような運用では「添付ファイルを守る」と言う効果は期待できません。

勿論、多くの方はパスワードをしっかりと別の経路、あるいは別のメールで連絡をするようにし、
パスワード送信前には再度の宛先確認を行い、万が一誤送信に気が付いた場合には送信を取り止めるような運用をされているかと思います。
しかし、このようなパスワードの通知方法や送信タイミング以外にも、
各人で大きく運用が異なるものがあります。それは「パスワード」そのものです。

あなたが添付ファイルをZIP暗号化する時、どのようなパスワードを付けていますか?
シンプルにパスワードは「password」や「123456」で通している方も居るかもしれません。
(驚くべき事かもしれませんが、
このようなパスワードは2019年においても良く使われているパスワードランキングの上位に存在しています。)
「送信年月日(例えば20200327)」や「送信者や受信者の会社略称(例えばAIR)」、
「会社の電話番号(例えば0335879221)」をパスワードとする添付ファイルはわりと見かけます。
パスワード強度確認サービスでチェックすると、このような簡単なパスワードでは1秒以内に解除が可能だと判定されます。
もしも不運にもあなたが誤送信を起こしてしまい、パスワードを送らなかったとしても、
相手に悪意があった場合には、設定しているパスワードによってはいともたやすく解除されてしまうと言う認識を持つ必要があります。

このような事態を防ぐためには、「パスワード強度」の高いパスワードを設定する必要があります。
例えば、アルファベットの大文字、小文字、数字、記号を組み合わせること(例えばtb/yV3E9/YibjNXW)です。
これらをパスワード強度確認サービスでチェックすると、解除までに3兆年かかると判定されます。
これだけの強度があれば現実的には問題にならないでしょう。
ただし、複雑なパスワードであっても常に同じパスワードを利用する、
一貫したルールに基づいたパスワードを利用する、と言うような運用も望ましくありません。
送信者にとって分かりやすいパスワードとは、つまり受信者にとっても解除しやすいパスワードになりがちなためです。

今までの記載から分かる通り「添付ファイルを守る」には相応の労力が発生します。
そのため、「添付ファイルを守る」に足る運用ルールを制定したとしても、
ルールを順守して運用していく事に抵抗を感じる社員は少なくないと思います。
何故なら多くの社員にとって誤送信とは他人事であり、自身が起こしてしまうとは考えていないものです。
そしてそのようなものに対して労力を割くことに疑問を覚え、それを強いられる事はストレスに繋がるでしょう。
必要性の感じられない作業に対し、そのような感情を抱く事はごく自然な事ですが、
万一があった場合にそのような運用では問題となります。

「人間こそがセキュリティホール」と言うフレーズがあります。
これが意味する事の一つとして、どのように立派なルールや機材を用意しても、
実際に運用する人間によっては十分にセキュリティが守られない事を指しています。
今回のケースで言えば、「パスワードは複雑なものにすること」と言うルールを設定しても、
社員が労力を惜しんで簡易なパスワードを用いた場合にはセキュリティは守られません。
これを防ぐために社員教育に励んで各人の意識の改革を行っていく、というのも一つの手ではありますが、
より簡単な方法としてそもそも社員に対してパスワードの運用を任せない事です。

つまり、自動的に添付ファイルを複雑なパスワードでZIP暗号化するといったツールを導入し、
メール送信者に運用を任せない事で人間と言うセキュリティホールを塞ぐ、と言うのも一つの手ではないでしょうか。


>>>自動で添付ファイルをパスワード付きでZIP暗号化できる 「WISE Attach」はこちら!


Twitterアイコン
コメントはこちらのツイートボタンからお願いします

タイトルとURLをコピーしました