パスワード別送の意味はあるのか? 添付ファイル付きメールの安全性
添付ファイルを暗号化してメールで送るとき、パスワードは別送するというやり方が多くの企業で習慣化しています。しかしこのところ、このやり方は安全性に問題があることが指摘されるようになりました。何が問題なのか、そして問題点を解決する方法はあるのかなど詳しく解説します。
添付ファイル付きメールのパスワード別送は安全?
暗号化し圧縮したzipファイルをメールに添付して送り、パスワードは別のメールで送るという方法は、これまで日本の企業・組織の間である種のルールやビジネスマナーであるかのように周知されていました。
しかし、この方法はセキュリティ対策としての効果が低いというのが最近の大方の見方です。内閣府と内閣官房は2020年11月26日にこの方式を廃止しました。政府のこの判断も契機となり、多くの企業でも機密情報や重要情報の安全を守ることにはつながらないとして、この方式を取りやめる流れになっています。
パスワード別送の問題点
ではなぜセキュリティ対策として効果が低いのか、パスワード別送方式の問題点を整理して説明します。
パスワード別送の安全性は?
まず、何者かが通信を傍受している場合、その者は別送されたメールも続けて読む確率が高いと言えます。傍受は端末とメールサーバー間など、通信経路のどこかで不正な通信経路を作ることで行われます。添付ファイルを送ったメールとパスワードを送ったメールが同じ通信経路で連続して送られていれば、通常、どちらのメールも傍受されてしまいます。
また、いわゆるメールを不正に閲覧する手口の中で最も多いのは、PCに不正侵入してメールを盗み見る方法、あるいはメールのアカウントとパスワードを不正入手してメールサーバーにアクセスする方法です。これをやられた場合、パスワードを別送してもまったく意味がありません。
一方、パスワードを別送するのは誤送信対策の役割が大きいとも言われています。最初のメールを間違った相手に送っても、パスワードを別送する方式なら2通目を送るときに気づく、というわけです。しかし、2通目を送る前に1通目で間違った相手にメールを送っていたと気づく確率はどれくらいなのでしょうか。この考えは結局のところ、送信者の注意力に頼っているとも思えます。
そして最も大きな問題は、暗号化したパスワード付きzipファイルは、誰でも利用できるフリーソフトで簡単にパスワードを解析して解凍できるということです。zipではよく使用される「ZipCrypt」という暗号化方式のパスワードは、有名な圧縮/解凍ソフトである「Lhaplus」の「パスワード探索」という機能などで解析可能です。パスワードが解析されるのなら、パスワードを別送するしないにかかわらず、安全性は低いといえます。
安全性以外の問題点
そもそもパスワード別送には、送信者が2通目のパスワードを記載したメールを送り忘れるかもしれないという問題もあります。受信者が暗号化されたzipファイルを別の端末に移動して保存し、後日、解凍しようとしたらメールを確認できず、パスワードがわからない、ということも起きるかもしれません。
上記が杞憂だったとしても、そもそもメール送信するときに対象となるファイルをパスワード付きで圧縮し、それをメールに添付して送り、さらに同じ相手にパスワードを書いたメールをもう一度送る、という作業はかなり手間がかかります。
一度だけならこうした作業もあまり苦にならないかもしれませんが、業務上一日に何度もファイルを送る必要がある人にとっては、工数がかかり面倒だといえます。
パスワード別送の安全性を高めるためにできること
もしもパスワードを別送するのなら、パスワードはメール以外の方法で知らせるほうが安全性は高くなります。どうしてもメールを使うならパスワードは携帯電話用のメールアドレスに送るという方法でもいいでしょう。ただし、簡単にコピー&ペーストができない環境の場合、パスワード入力の手間は余計にかかります。
パスワードを複雑なものにする方法もあります。ソフトでパスワード解析を行う場合でも、複雑なパスワードほど解析には時間がかかります。もっとも、これもパスワードの記されたメールを盗み見られていた場合にはまったく効果はありません。
セキュリティに優れたパスワード別送の代替手段とは
そこで多くの企業が、もっと安全に、簡単にファイルを送る方法を探しています。
これまでと同じようにメールで安全にファイルを送る方法はないかと考えるのなら、「メールdeファイル」というメール転送サービスを使う方法が候補に挙げられるでしょう。
このサービスには、添付ファイル付きメールを送ると、自動で添付ファイルを分離する機能が搭載されています。送信者はファイルを添付して、相手にメールを送るだけです。すると受信者にはダウンロード用のURLが記載されたメールと、パスワードが記載されたメールが届きます。
添付ファイルはメールdeファイルのサーバーに保存されています。受信者がメールに記載されているURLをクリックしてサーバーにアクセスし、別メールに記載されているパスワードをコピー&ペーストして入力すると、ファイルがダウンロードされます。
受信者がファイルをダウンロードすると、送信者にダウンロードされたことを知らせるメールが届きます。この機能により、たとえメールが誰かに盗み見されていたとしても、その者がサーバーにアクセスしてファイルをダウンロードすると証拠が残ることになります。ファイルには「ダウンロード回数」と「ダウンロード期間」の制限も付けて管理することができます。
また、ダウンロードパスワードとは別に、ファイルにzipファイルパスワードもかけられます。つまり、ダウンロードするときと、ファイルを解凍するときの2重にパスワードを設定するなどの運用も可能なのです。
以上の仕組みにより、メールdeファイルを使うとこれまでと変わらない操作で、きわめて安全にファイルを受け渡すことができます。
旧来のパスワード別送方式は安全とは言えません。セキュリティ面が気になる場合は、ほかの手段を検討しましょう。「メールdeファイル」について詳しく知りたい方はこちらを参照してください。