間違いだらけのメール添付ファイルの暗号化!パスワードを設定について解説 前篇

添付ファイルにパスワードをかけ、別メールで送る無意味な行為について
EXE をリネームして EX_にして送るメールシステムが悪い理由

以前書いた記事の焼き直しですが
メール添付ファイルの暗号化は必須!パスワードを設定する方法を解説
定期的にこういう悪習を推奨する記事が上がってくるので
この記事のパロディーと言う形式で改めて書くことにしました(・ω・)

この記事の目次
1. メール添付ファイルにパスワードをかけても無意味なケース
2. ZIP圧縮ファイルにパスワードを掛ける時の注意点
3. 機密文書の Word および Excel ファイルにパスワードを掛けて添付するのはほぼ無意味
4. メールでパスワードを別送するのが無意味な理由とは?
5. まとめ

1. メール添付ファイルにパスワードをかけても無意味なケース

メールにファイルを添付して送信する場合にパスワードをかける第一の理由は第三者への情報漏えいの防止です。

漏洩理由として考えられるのは
誤送信や盗聴で意図せず第三者にファイルが渡った場合ですが

メールの添付ファイルに10文字以内のパスワードを設定しても、簡単に解析することができるため
ほとんど意味がありません。
盗聴という視点で考えると、これは、昔、メールを送信するときにインターネットの送信経路が変わることがあったため、メールを分けることで、悪意のないネットワーク経路のコンピュータに情報が漏洩するリスクを下げるという焼け石に水的な手法だったのですが、悪意のある盗聴の標的にされた場合は別のメールで送信することにセキュリティ上のメリットは全くありません。

中には、パスワードをかけたあと、自動的にパスワードを送信するシステムも有り、ご送信防止の体すら成していないものもあります。

メールの添付ファイルにパスワードをかけて、別メールでパスワードを送信するのを他社に示すことによって、セキュリティを本当にわかっている人からは生暖かい目で見られていることにそろそろ気づいてもいい頃だと思います。

添付ファイルにパスワードをかけること自体はいいことなのですが、
機械的にパスワードを設定することで、パスワードの長さが短くなり、更に別メールでパスワードを送信することが全てをぶち壊しているのです

2. ZIP圧縮ファイルにパスワードを掛ける時の注意点

添付メールのパスワードはZIP形式であることが多く、
よく、8文字以上の英数混在のパスワードをかけるように推奨されている会社が多いと聞きました。
しかし、8文字程度のパスワードが通用するのは、アカウントロックアウト(サイトなどで3回連続で間違えると数分~数日入力できなくなったり、同じIPからのアクセスが制限される仕組み)があるからです。
パスワード付きのZIPファイルなどの仕組みでは、1秒間に1000回以上パスワードを試行することも可能で、並列コンピューティングを利用すればかなり短期間で解除することができてしまいます。

メールに添付して送ると、どうせコピーペーストで入力することになるわけですから、いくら長いパスワードにしても支障は出ないと思います。なのに、解析できるような短いパスワードをつけるのはナンセンスと言えます。

3. 機密文書の Word および Excel ファイルにパスワードを掛けて添付するのはほぼ無意味

ビジネスでもっとも利用されているソフトと言っても過言ではない「Word」と「Excel」。
ビジネスで利用している人が多いため、その分重要な情報が書かれていることも多いのがこれらのファイルです。

しかし、「Word」と「Excel」それぞれ単体のファイルにパスワードを設定しておけば安心とか思っていませんか?

これも、Office 2016より前のバージョンでは、ロックアウトのない試行で簡単に解除できてしまうので短いパスワードや数字のパスワードでは意味がありません。

ちなみに、Word や Excel の保護パスワードや、不可視シート、VBAの閲覧パスワードの仕組みには脆弱性があり、ちょっと詳しい人間なら、ものの数十秒で簡単に解除できてしまいます

つづく

おすすめ

1件の返信

  1. えびせん より:

    パス付きzipに付ける文字は、英数混在なんかよりも日本語(と言うか2バイト文字)にしておけば解除に何十年とかかるから実質解除不可能とか聞いたことありますが相手への伝え方が間抜けなら意味ないですね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です