No187 パスワード付きZIPファイルがなくなる日

少々時期を逸してしまいましたが、2020年11月に平井デジタル改革
担当大臣が「内閣府、内閣官房では電子メールの添付書類でのパス
ワード付きZIPファイルの利用を止める」と発表をされました。

既に内閣府や内閣官房では11/26から使用を停止しているとか。

パスワード付きZIPファイルの無意味さ、問題点はたくさんの方が
書かれていますが、内閣府が使用中止を宣言することで長年続いて
きたこの悪弊もやっと終わることになりそうです。

今回は、この方式の問題点とパスワード付きZIPの代替方式について
解説をします。

1. パスワード付きZIPの問題点

このテーマについては2019年8月にも解説しています。

No121 メール添付書類のセキュリティ対策　その１
No122 メール添付書類のセキュリティ対策　その２
No123 メール添付書類のセキュリティ対策　その３

詳細は上記の３つのバックナンバを見ていただきたいのですが、
ここでは概略を述べておきます。

パスワード付きZIP形式の問題点は３つほどあります。

１）安全じゃないのに安全なように思ってしまう
２）マルウェア（ウイルス。詳細は文末参照）の発見が難しくなる
３）手間がかかる
　
１点目の問題はこの方式がちっとも安全でない点です。
２つのメールに分けて送ったって、何の解決にもなってません。
メールを盗み見される状態なのであれば、パスワードも同じように
盗み見されてしまいます。

２点目として、はマルウェアの検出が難しくなる点があります。
一般にメールは、各組織の中にあるメールサーバというコンピュータ
が一括して受け取り、それを各人のＰＣ（パソコン）に配る形態を
取ります。

多くのメールサーバではメールを受け取る時に同時にマルウェア
チェックをします。
ですが、パスワード付きZIPファイルの場合、ZIPファイルの内容を
確認できないため、マルウェアを検出できません。

実際、2020年に入ってEmotetと呼ばれるマルウェアがパスワード付
きZIPファイルにマルウェアを入れて送り付ける事件が発生して
います。パスワード付きであるため、メールサーバではマルウェア
の検出が行えなえません。となると、各人のＰＣでのチェックに頼る
わけですが、利用者が操作ミスなどをすると、たちまちマルウェア
の侵入を許してしまうわけですから、非常に危険なわけです。

そして３点目は送信者も受信者も手間が増える点です。
送信者側は、
　１）パスワードを考える
　２）目的のファイルをパスワード付きZIPファイルとして作成する
　３）それをメールで送付する
　４）続けてパスワードを書いたメールを送付する
という作業が必要になります。

受信者も同様に手間がかかります。
送信する方は必要と思えばこそ手間をかけているわけですが、そう
は思わない受信者にとっては面倒なだけです。

このように問題の多い方法でしたから、内閣府が「やらないよ」と
宣言することは大いに意味のあることだと思います。

2. じゃあ添付ファイルをどうやって送ればいい？

パスワード付きZIPが安全じゃないのはわかったけど、今後はどう
すればいいのよ？というのは普通に思いますよね。

一番わかりやすいのは、暗号化などせずにそのまま添付すること
です。このやり方でもパスワード付きZIPと同等の安全性は確保でき
ています。

そもそも論になりますが、添付書類が見られて困る場合は、メール
本文も読まれるとマズいことが多いでしょう。
そうであれば、添付ファイルだけを暗号化することに価値がある
とは思えません。

特に機密性を求められない一般的な内容のメールなら暗号化をせず
添付すれば良いと筆者は考えています。

添付する書類が機密性の高いものであれば、メールに添付すること
自体が好ましくありません。

この場合は、内閣府の平井大臣も言っておられたDropboxなどのオン
ラインストレージを使えば良いでしょう。

オンラインストレージというのは、ネットワーク上でファイルを
預ってくれるサービスです。

オンラインストレージは、契約者だけが自分専用の領域にアップ
ロードやダウンロードができますが、その一部を他人に公開する
ことも可能です。具体的には、目的のファイルをアップロードし、
次にダウンロード用のURLとパスワードの組を発行します。

このURLはメールに書き、パスワードは別の方法で伝えることで、
先方にダウンロードしてもらうことができるわけです。

3. パスワードを送る時にはご注意を

さて、上でサラっと「パスワードは別の方法で伝える」と書き
ました。
これ、かなり重要な話です。

そもそもパスワード付きZIPファイルの問題は暗号文とパスワード
を同じ経路（回線）で送る点にあります。
逆に言えば、データとパスワードを違う経路で送ればいいわけです。

例えば、メールはＰＣから送り、そのパスワードはスマホから
送るわけです。ＰＣ１台なら盗み見が可能でも、スマホも同時に
盗み見するとなると、どのＰＣとどのスマホが同じ所有者かを知ら
なければいけませんから、グッと難度が高くなります。

スマホから送る時にLINEやtwitterなどのネット回線を使わず、
SMSの電話回線を使えば、盗み見る方はネットだけでなく電話回線
も盗み見しなければいけませんから、さらに効果的です。

そうそう、ご存知ない方も多いようなのでついでに書いておきます
が、SMS（ショートメッセージサービス）はインターネットを一切
使わない、電話回線だけを使ったサービスです。
何でも元々はポケベル用の英数字を送付する方式をSMSに流用した
ものだそうです。（若い方はポケベルなんて知らないかもですが、
電話回線を使って十数文字のメッセージが送れるサービスがあった
のです）

だから、SMSはネット契約のない古いガラケーでも受け取る
ことができるのですね。

3. それでも暗号化して送りたい場合は？

パスワード付きZIPがイマイチなのはわかるけど、それでも暗号化せず
に送るのは気持ち的にイヤだというのであれば、方法はあります。

メールそのもの（本文も添付も全て）を暗号化する方法です。

PGP（ピージーピー）やS/MIME（エスマイム）と呼ばれる方式が
代表的です。

これはパスワード付きZIPとは異なり、パスワードを送る必要もなく
また、使用する暗号方式もZIPよりも高度なもので、解読される危険
もZIPよりずっと少なくなります。
送受信の方法は普通のメールと変わりませんから、手間もかかりま
せん。

良いことづくめに思えるメール暗号化ですが、これはこれで大きな
問題があります。

残念ながらあまり普及していないのです。

PGPでもS/MIMEでも、送信側と受信側で同じ方式が利用できる環境
がなければなりません。
でないと、受け取ったメールはランダムな文字が並んだだけのゴミ
メールにしか見えません。

現状では使える相手は限られてしまうのが実際のところです。

4. やっぱりパスワード付きZIPがいい

それでも慣れているからパスワード付きZIPが良いなぁ、という方
もおられるかもしれません。

実はパスワード付きZIPファイルにはここまで書いた以外にまだ
問題があるのです。

暗号化が弱いんですよ。

いわゆるブルートフォース（力づく）で計算させても８ケタのパス
ワードが数分程度で見つかってしまいます。これでは暗号化しても
意味ないですよね。

８ケタ程度のパスワードを付けたところで、本気で内容を知ろうと
している相手には何の役にも立たないのです。

それでもパスワード付きZIPによる暗号化が使いたいでしょうか？
上述のようにオンラインストレージを使うなど、他に良い方法は
あるわけですから、そういった方法を使われることを筆者としては
強くオススメします。

今回は、パスワード付きZIPの問題点と、その問題を避ける方法に
ついて解説をしました。

次回もお楽しみに。

今回登場した用語

○マルウェア
　これは英語圏での造語で、malicious-softwareを縮めてmal-ware
　（＝マルウェア）と呼ぶ。
　malicious（マリシャス）は「悪意のある」とか「故意の」と
　いった意味。
　つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
　ウェアの総称を指す。
　ウイルスと何が違うんだ？と思ったアナタは正しい。
　以前は「ウイルス」が悪事を働くソフトの代表だったので、
　それが総称を兼ねていた。
　ところが、ウイルス以外にも悪さをするソフトウェア、例えば
　ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
　登場してきた。
　結果、狭義のウイルスと広義のウイルスの２つの意味にかなりの
　差が生まれてしまった。
　この両方を「ウイルス」で表記していると区別がつきにくくなる
　ため、マルウェアという言葉を「悪さをするソフトウェア」の
　総称として使いはじめた。
　2020年現在、ウイルスという言葉はマルウェアの一つの形式扱い
　ということで専門家の間では定着した。一般ユーザにも広がりつつ
　あるが、「ウイルス」と呼ぶ人もまだまだ多い。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html