パスワード付きの暗号化zipファイルの安全性
パスワード付きの暗号化ファイルをメールに添付して送り、パスワードを別送するというやり方の安全性が問題になっています。すでに多くの企業では、この方式ではセキュリティリスクを軽減できないとして廃止する動きが強まっています。それはなぜなのか、今回はパスワード付きの暗号化ファイルの安全性について解説します。
メール添付にパスワード付きzipファイルが使われる理由
社外の関係者などとビジネス上重要なファイルを共有する際、以前からパスワード付きzipファイルをメールに添付して送信し、別のメールでパスワードを送るというやり方が広く行われていました。
しかし、この手法が当たり前に行われていたのは日本くらいだったようです。2010年代から官民問わず広まり始め、やがてビジネス上の慣習として定着しました。諸外国ではあまり見ない慣習です。
定着した理由は、この方式は安全性が高いと考えられていたためです。ファイルを添付したメールとパスワードを記載したメールを分けて送る際に、2通続けて誤送信することは少ないと考えられていたのです。
また、この手法を採用していれば、個人情報保護や情報セキュリティが確保されているかを評価・管理するための基準であるプライバシーマークやISMSの審査をクリアできるという根拠のない噂が流れていたことも普及の要因といわれています。しかし、これは管理団体によって否定されています。
パスワード付きの暗号化zipファイルの安全性
内閣府と内閣官房は2020年11月26日からパスワード付きzipファイルを送信する方式を廃止しています。その件について平井卓也デジタル改革担当相が、当該方式について「セキュリティレベルを担保するものではない」と発言したとも伝えられています。これを契機として、同方式を廃止する企業が急増しました。
この方式の安全性については、以下のような問題点が指摘されています。
誰でも利用できるソフトで容易に暗号の解析が可能
zipファイルの暗号方式としてポピュラーな「ZipCrypto」は、実は誰でも利用できるフリーソフトなどを使って簡単に暗号解析ができてしまいます。つまり、そもそもパスワード付きzipファイル自体の安全性がそれほど高くないといえます。
別送したパスワードのメールも盗み見されるリスクがある
メールの盗み見は多くの場合、相手のパソコンに不正に侵入して保存されたメールを探すというやり方で行われます。あるいはアカウントを入手して、メールサーバー上のメールを読まれてしまうこともあります。さらに、メールを本来とは異なる通信経路を用いて傍受されていた場合も、2通続けて届いたメールはやはり読まれる可能性が高いでしょう。
これらの方法でメールを盗み見されると、パスワードを別送してもほぼ意味がないことになります。
ウイルスチェックができないというリスクも
パスワード付きzipファイルは、セキュリティ対策ソフトのウイルスチェックをすり抜けてしまうことがあります。また、このことを利用し、送られてきたパスワード付きzipファイルを解凍して開くと感染する仕組みの「Emotet」や「IcedID」というマルウェアも流行しました。
このことが問題となり、そもそもパスワード付きzipファイルが添付されたメールをブロックして受け付けないようにしている企業もあります。こうなると、パスワード付きzipファイルは受け取ってももらえないということになります。
パスワード付きzipファイルには安全性以外の問題点も
安全性に問題があるだけではなく、パスワード付きzipファイルを送るというのは、送信者と受信者双方に余計な手間を強いるやり方だともいえます。
とくに送信者は、パスワード付きzipファイルを作成し、そのファイルをメールに添付して送り、さらに別のメールにパスワードを記して送り……といった具合にいくつもの作業が必要となります。ビジネスで頻繁に利用するには、あまりに効率の悪い方法と言わざるを得ないのではないでしょうか。
パスワード付きzipの安全性への懸念を解消する方法
では、パスワード付きzipファイルを添付する以外の、もっとスマートなファイル送信方法はないのでしょうか。
解決法として挙げられるのは、ファイル転送サービスを利用する方法です。通常のメールでは送れないような大容量のファイルを送る方法として知られているファイル転送サービスですが、簡単かつ安全にファイルを送るために利用できるサービスも存在します。
「メールdeファイル」もその一つです。メールdeファイルでは、メールにファイルを添付して送信すると、自動的に添付ファイルがメールdeファイルのサーバーにアップロードされます。
受信側は、そのファイルのダウンロードURLとパスワードが記載された2通のメールを受け取ります。ファイルを入手するにはそのダウンロードURLをクリックしてパスワードを入力します。その際、送信側に対して「ダウンロードします」などとメッセージを送ることができ、ダウンロードが完了すると通知が送られます。送信側はダウンロード回数とダウンロード期限を設定することも可能です。
この方式の優れているところは、送信側はこれまでメールにファイルを添付して送っていたのと変わらない操作方法で、安全・確実にファイルを送れるということです。受信側もURLをクリックして、メールに記載されているパスワードをコピー&ペーストするだけでファイルを受け取れるので、大した手間はかかりません。メールにzip暗号化ファイルを添付しなくても、安全にファイルの共有ができるようになります。
パスワード付きzipファイルを添付して送るやり方には安全性の問題があるということがおわかりいただけたでしょうか。現在もこの方法を続けているという場合は運用の見直しをおすすめします。また、「メールdeファイル」の特長について詳しく知りたい方はこちらのページもご覧ください。