パスワード付きZIPは撲滅すべき

投稿者: | 6月 21, 2020

先日情報処理学会の冊子でこのテーマについて特集が組まれていたのと、いくつか某大企業とのやりとりの中でいわゆる
– パスワード付きZIPを.zi_で送付
– 後続メールでパスワード連絡

というプロセスの中で色々とトラブルがあり(最近そもそもメール使わないしね)たかが数kBのデータを受け取るために随分と苦労したという徒労感とタイミングがかぶった。

なぜパスワード付きZIPは害悪かを、すでに色々な人が書いてるから今更感はあるだろうけど、誰でもわかるように簡単に書きたいと思う。

なぜ無意味かを簡潔に書くと、
その添付ファイルを覗き見できている人は後続のパスワードを伝えるメールも覗き見できているに違いない
という一点で終了だ。5秒考えればわかることだろう。うちの小学二年生でも理解できそうだ。

まぁ仮にたまたまなんらかの理由で片方のメールだけが流出してしまった場合などは効果があるが(誤送信とか)
そんなのセキュリティ対策でもなんでもない。業務フローから見直すべし。

続けてなぜ害悪かをこちらも極力簡潔に説明しよう。

– ウィルスチェックでパスされる
パスワード付きZIPの運用の定番として.zipではなく.zi_だったり.aだったりファイルの拡張子を変える。そうするとこれら添付ファイルはウィルスチェックでパスされることが多い。「パスされる」というのは「ウィルスが無い」わけではなく「よくわかんなかったからそのファイルは絶対開くな!!!」という意味だ。でも開くわけですよね。だって取引先からのメールなんだもん。
ちなみに送信者アドレスの偽装なんて悪意ある送信者にとっては基礎の基礎だ。
つまり「うちはパスワード付きZIPで送るんで」と宣言することは「御社のセキュリティ対策無意味にするけどカンベンね(テヘペロ)」と言ってるも同然なのだ。多分当事者にはそういう意識ないよね。

– モバイルで開けない
前述のとおりパスワード付きZIPではファイルの拡張子を変えることが多い。そうするとモバイルデバイスではほとんどの場合で解凍ができない(パスワードがわかっていても)現代の社会人が出先でモバイルでメールを確認するという行為は基本的には仕事の効率を上げることに貢献している。それをわざわざ引き下げるという見下げた行為なわけだ。

– 気持ちが重くなる
社会の世知辛さを感じる。
会社のセキュリティ担当はこんなの無意味だととうの昔にわかっていながら「導入済みのシステムを変えるのは難しい」「上がやれっていうので」という調子で渋々運用している、みたいな光景が目に浮かんでこの世の不合理さを感じてしまう。

次になぜパスワード付きZIPは良いと思われているかについても語ってみよう。パスワード付きZIPを導入している人たちも多いわけだから一分の理はあることだろう。

例えば
– 「パスワード入力」のプロセスがあることで軽はずみに開かれずに済む
これによって誤送信先で「あれ?〇〇さんから?何のファイルだろう?あら、パスワード付きだ」って思ってくれることで「すみません、間違えて送りました。先ほどのファイルは削除してください!」などの対応が間に合う、という理屈。
これ、そんなん気をつけろや、という話。
また「特別なメールだけパスワード付きにする」というような運用にはまずもっていなくて全てのメールがパスワード付きZIP化されている事例がほとんどだ。その場合は皆特に深く考えずにパスワード入力してファイルを開く。
誤送信に関して現実的な対策が他に色々あるのでパスワード付きZIPをわざわざ使う理由としては弱い。

例えば他には
– パスワードを別の経路で伝えることでセキュリティ対策になる
これはそのとおり。だが、それを実行している人は果たしてどのくらいいるだろうか?
会社によっては「自動パスワード付きZIP化のシステム」を導入していて、当然後続のメールでパスワードは送られる。
仮にそのようなシステムは介さずにパスワード付きZIPを作成し、後続のメールで「パスワードは御社の会社名です」と伝えたところでそんな情報ハッキングした側も当然知っている。「あなたの誕生日です」くらいになるとハードルは上がるけど調べようとして調べられないものではない。(てかそもそも取引先の相手のおっさんの誕生日なんて知らない)また電話で「先ほどの添付ファイルのパスワードはaXg2JGsGEsxhhjlesSOです」とか口頭で伝えるのは運用面を考えるとしんどい。
唯一有効そうなのはお互いに暗号表を事前に郵送しておいてそれに応じてパスワードを伝えることだろうか。そしてその暗号表を不定期に変更する。FBIとかMI6とかではやってそう?笑
また、オフラインでのパスワードのクラッキングなんて、その気になって多少時間をかけて良ければ、必ずできる。
なのでパスワード付きZIPそのものを取り上げても実用的な意味はほとんどないのだ。

また、例えばこれは私個人が見た話ではないのだが
– プライバシーマークの取得のために「パスワード付きZIPの導入が必須」と勘違いされている
というケースもあるらしい。ちなみにこれはデマだろう。Pマーク取得済みの会社と普通にファイルやりとりしてるがパスワード付きZIPなんて出てきた記憶がない。

「じゃあパスワード付きZIP(伝家の宝刀)を取り上げられたら我々はどうしたら良いのか?」という質問にはここでは答えない。私はセキュリティの専門家ではない。それでメシを食ってる方々に譲る。
なお私なりの個人的な見解を聞きたい方にはあくまで非公式なアドバイスとして別途対応します。笑