- 「PPAPは無意味」中央官庁でパスワード付zipファイル送信廃止議論
- “Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
- Password付きZipファイルを添付したメール
- Password送りますメール
- Ango(暗号)化(Zipで圧縮+暗号化)
- Protocol(手順)
で「PPAP」メールというのは何とも笑えます。
個人的にはこの「パスワード付きZipファイルをメールに添付して、解凍パスワードを別途メールにてお知らせ…」というのはそんなにセキュリティに効果があるのかなと思ってます。特に、パスワードを別メールでお知らせする、という部分。
なるほど、圧縮+暗号化するZipファイルにすることで、ファイルを開けにくくはなるとは思うのですが、パスワードをお知らせする際は、先の送信済みメールの宛先全員に対して全返信することがほとんどだと思うのですが、送った相手を再確認ってあんまりやらなくないですか?
中には、メールにファイルを添付すると、勝手にZipファイルを生成して、自動でパスワードのお知らせメールを別途送信するセキュリティ製品(?)もありますし、企業のメールサーバーで自動でPPAPする設定になっているところも数多いですが、添付ファイルのついたメールが盗み見られるのであれば、パスワードをお知らせするメールも同様に盗み見られるわけで(笑)。
メールの添付ファイルを盗み見られるのと、送信先を誤って設定してしまう誤送信、どっちが確率として高いですか?
圧倒的に後者だと思いますよ…
実際、私自身、誤送信はやっちまったことがありますし。せっかくZipファイルに圧縮して、暗号化しても、送信先を間違えたうえに自動でパスワードをお知らせしちゃったら何のためのPPAPメールなのかと。常日頃に添付ファイルをやりとりする間柄であれば、相互で解凍パスワードを予め決めておき、パスワードのお知らせメールを割愛するほうがセキュリティ的には高いと思います。これなら、万が一、送信先を間違えた場合でも、パスワードが分からないと解凍も出来ないので、意図せぬ相手がファイルを見ることは出来なくなります。
ただ、自動でZipファイル化してパスワードのお知らせメールを送信する仕様ですと、この方法は選択できません。どうして、「パスワードをお送りします」メールが自動にする風潮になったのか、いまだに理解できません。
そもそも、Zip化して暗号化してしまうと、その中のファイルがウイルスに感染していてもセキュリティソフト等をすり抜けて、気づかずに解凍+実行してしまうことになります。または悪意をもってZipファイルに自動実行型のウイルスが仕込まれていた場合、容易に感染してしまうことになります。悪意をもったなりすましメールでも、PPAPメールだと無警戒にZipファイルを開けてしまいます。本来、Zipファイルの実行は、それなりに警戒すべきものです。
むしろ、PPAPメールの弊害はこちらではないかと思っています。
外資系企業だと、Zipファイルが添付されたメールは受信メールサーバ側で弾く設定になっていることが多いです。こうした場合、「パスワードをお知らせします」メールしか受信できないので、最初は「何のこっちゃ」と思うことになります(笑)。送り主のメールサーバ側で自動Zip+パスワード設定する仕様の企業さんの場合、Zipにせずファイルをやりとりする手間を説明するのは本当に骨が折れます。(相手に「ファイル転送サービス?なにそれ?」と言われるとかなり厳しい)
セキュリティを厳しくすると、どうしてもユーザビリティが下がります。ユーザビリティを下げないよう自動化すると、使い手の意識が下がります。「暗号化しているから安心」という慢心のほうが実は脅威だったりします。
ファイルをZip化するのは一定の効果はあると思います。個人的には、「パスワードは両社で取り決めたいつものヤツです」で、十分かと思うんですがねえ。皆さん、いかがですか?
コメント