2022年2月11日

暗号付きzipファイルをメール送信していませんか?

投稿者: kgi_admin

メールにデータを添付して送信することは多くあると思います。

企業間でのデータのやりとりでは一番使われている手段ですよね。

そんな中でよく見るのが、暗号付きの zip ファイルに圧縮したものを送信し、別途送られるメールに暗号の鍵がついているというものです。いわゆるPPAPと呼ばれるものです。

「同じアドレス宛に2通送るだけだし、これって何か意味があるのか?」と思われた方も多いでしょう。

結論を言うと、実際「ほとんど意味がない 」のです。

今回は「なぜ意味がないのか?」について紹介します。

何のリスク対策になるのか

何かしらのリスク対策として暗号付きzip送信は行われています。

ではこのメールに暗号付きのzipを送ることは、具体的に何のリスクへの対策なのかを考えてみましょう。

暗号をかけるということは、「暗号を知っている人以外に中身をみられたくない」からですよね。

家の鍵も、鍵を持つ人(=家の人)以外が入ってくることを防ぐわけです。

大事な鍵を落としてしまうとどうでしょうか。当然、家に泥棒は入り放題ですよね。

メールの場合、悪意のある人にメールのパスワードがバレてしまうと、メールは見られ放題になります。2通に分けて送ったところで、両方とも見えるなら意味を成しません。

このパターンのリスクには対応できません。

いろいろなサービスで情報漏洩が発生している情報社会において、パスワードの漏洩はいつ起きてもおかしくありません。多くの人がサービスごとにパスワードを設定しておらず、単一または数個ののパスワードを使い回ししているので、漏洩された情報の悪用は一番怖いリスクであると言えます。

話が少し脇道にそれてしまいましたが、暗号付きzipメール送信が役に立つのはこういったサイバー攻撃やハッキング的なリスクではありません。アナログで人為的なミスへのリスクです。

ほとんどの場合1回目も2回目も同じ人に送られますが、ごく稀に別々の人に送ることになるケースがあります。

どんなケースかというと、「送るべき人を間違えていた場合」です。手間をかけて2通に分けて送っていたのが役立つのは、まさにこの時です。

例えばA社の田中さんへ特価の見積PDFを送るはずのところを、間違えてB社の田中さんへ送ってしまった場合です。

2つのメール両方が届かない限り、B社の田中さんは添付zipファイルを解凍できないので、PDFの内容まではわかりません。なんとか事なきを得られそうです。

ファイルと暗号を2回目のメールに分けて送っていることで、大きな問題になることを防げそうに思えます。

しかし、実はそうでもないのです。

問題は3つあります。

①1通目のメールも重要な情報が含まれている

多くの場合、重要な内容であればあるほど、メールの文章部分にもそれなりの内容が記載されています。

特に添付内容を見てもらいたい場合、その文章内容は添付内容を想像させ、閲覧するように誘導されている文章です。そのせいで内容がある程度想像できてしまいます。

②1通目も2通目も同じ間違った人に送ってしまう

送信先を間違えてしまうというミスが起きるときというのは、疲れていたり、夜遅かったり、別の作業と並行していたりなど、集中力が欠如していることが多いものです。

集中力が無い状態なので、2通目も同じ間違った相手に送ってしまうことがあります。

更に言うと「1通目に暗号zip送信&2通目で暗号送信」は面倒な作業であるため、支援システムを使って自動的に同時に送るようにしていることが多いです。

そのため、気づいた時には2通目の暗号も間違った相手に送信された後になってしまいます。

③zipファイルの暗号解除は何度も挑戦できる

重要な情報は、それを守るために回数制限がかかっています。

例えば、インターネット上のサービスのログインでパスワードを何回も間違えると、多くの場合ロックされてログインできなくなります。

また、キャッシュカードやクレジットカードの暗証番号も3回間違えると停止するようになっていますよね。

しかし、zipファイルにはトライできる回数制限がないのです。何度パスワードを間違って入力しても、また解凍を試みることができます。

まるで左の画像の鍵のように、何度もトライできることで、いつか開いてしまうのです。しかも、時間のかかる手作業などではなく、コンピューターに総当たりを高速で試させることができてしまいます。

この記事を書いている私は多少プログラムを書くことができるので、解除できるのか実際に試してみました。すると、なんと30分程度の単純なプログラミングでも、「a〜z」「A〜Z」「0〜9」が入り混じった4桁の暗号付zipファイルの解凍がすんなりできてしまいました。

「プログラマーじゃないと解除できないなら安心だろ」と思われるかもしれません。

しかし、残念ながら「zip 暗号 解除」と検索すれば誰でも無料で使える高性能な暗号解除ソフトウェアがインターネット上にたくさんあります。

そのため、間違って送った相手はその気になれば解凍ができてしまうのが現状なのです。

手間がかかるだけで実はリスク対策として意味がないのが「暗号付きzipファイルの送信」なのです。

そのため、日本の政府でも2020年からこの方法を禁止しています。

どんな方法で送るべきなのか

セキュリティ上脆弱な「zipファイル」を「メールで送信」することが問題なので、それらを使わなければいいということになります。

zipファイルの代わりに、決まった回数暗号を間違えたらファイルを消す自己解凍型のファイルをメール送信するというのも1つの方法です。

この時にメールで暗号を送ってしまうと意味がないので、SMS・LINE・Slack・Chatwork・Facebookのメッセージなどメール以外の方法で連絡するといいでしょう。

欠点とすると、あまり一般的なファイルではないので、受け取った側が「なにこれ?ウイルスかな?」と思ってしまってファイルを見ずに捨ててしまうという恐れがあります。

代わりに、インターネット上のクラウドストレージを利用すると言う手もあります。メールでダウンロードURLや招待URLを送信し、アクセス用のパスワードをメール以外の手段で送るというやり方です。

基本的にクラウドサービスは何度もパスワードの入力に失敗するとアクセスを禁止するようになっており、悪意のある第三者がパスワードを突破するのは難しい仕組みになっています。

この方法であれば、スマートフォンでも特にアプリをインストールなどしなくてもデータにアクセスできます。誰もがスマートフォンを持っている今の時代に合っていると言えるでしょう。

まとめ

パスワードでセキュリティリスクに対応するというのは本来かなり良い取り組みなのですが、今回のように意味がない取り組みになってしまうこともあります。

今回のzipの暗号も、個人が持てるコンピュータの能力が低ければ効果のあるものだったと思います。

しかし、現在はコンピュータの能力が向上しているので、総当たりで解除するということがかなり容易になってしまっています。

「一昔前の常識は今は非常識」ということはIT以外の領域でも多く見られます。さらにITの領域はかなりスピードが早い世界です。

時代遅れの知識で大きな損害が発生しないよう、知識の更新も計画的に行いましょう。

中小企業をがっつりサポート!

当社では

など、企業のIT化のサポート・DX事業のサポートを行っています。

まずはお気軽にお問い合わせしてください。