ニュース系
VIP系
厳選ピックアップ
見逃せない2chまとめ

【ファイル送信】「ZIPで送ります。パスワードはあとで送ります」は何故ダメなのか

544ea2e5ab759189ac00f2c191f16c2f_t

1: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:54:49.10 ID:0cSw+r4D9

平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。

暗号化ZIPファイルの中にあるディレクトリ構造やファイル名は確認できてしまう

この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。

freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。

プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール添付のファイル送信について」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。

ところで、世論の動向を受けてパスワード付きZIPファイルの添付をなんとなく「悪いこと」であるとは理解しつつも、厳密に「何が悪いのか」を説明できる人は少ないように思えます。セキュリティは対策手法だけでなく「なぜその方法が有効か」を学ぶことが重要です。本稿でパスワード付きZIPファイルの添付をやめる意味を考えてみましょう。

■パスワード付きZIPファイルは無意味? 3つの理由を説明

 当たり前ですがパスワード付きZIPファイルは、パスワードがなければ開けないため、パスワードを知られなければ誰にも見られません。しかしWindowsでパスワード付きZIPをダブルクリックすると、パスワードなしでディレクトリ構造やファイル名を確認できます。この点だけでもパスワード付きZIPファイルは、完全な「暗号化」ではないと理解できると思います。

 パスワード付きZIPファイルは、パスワードを知らなくても入力を何度でも試行できる点にも注目しましょう。通常のWebサイトであればパスワード入力が何度も実行された場合、ロックをかけることも可能です。一方でZIPファイルは、パスワードを総当たりすればいつかは解除できてしまう可能性がありますし、ZIPパスワードを無理やりこじ開けるアプリも数多くリリースされています。

 最も深刻な問題は、メールのセキュリティ機構をすり抜けることです。企業が導入するようなメールのセキュリティソフトは、メール本文に書かれたURLや添付ファイルのスキャンを実施します。

 セキュリティソフトの中には、マクロを含む「Microsoft Word」ファイルだった場合、マクロにマルウェアが仕込まれているかどうかを直接スキャンして確かめたり、ZIPファイルの中身を展開してスキャンしたり、実行ファイルをサンドボックスで疑似的に実行させて挙動を見たりするものもあります。

 一方でこれらのセキュリティソフトは、パスワード付きZIPファイルを展開できなかったり、中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。攻撃者にとってここが絶好の「穴」です。実際にマルウェア「Emotet」の感染拡大手法においては、パスワード付きZIPファイルを利用した攻撃事例も観測されています。

 以上の理由からZIPファイルは、パスワードを付けずに添付して送信した方がむしろ安全かもしれません。しかし、その際には「誤送信」のリスクも発生するため、それに向けた対策を講じる必要があるでしょう。

■重要なのはやめることではなく「何に代替するか」

 パスワード付きZIPファイルの添付をやめることは大切ですが、問題はその後どうやってファイルの送受信を実施するかです。これについては、デジタル相やfreeeも触れていません。JIPDECは「送信先や取り扱う情報などを踏まえてリスク分析を実施した上で、必要かつ適切な安全管理措置を講じてほしい」という表現にとどめています。

以下ソース先で

11/24(火) 7:15 ITmedia エンタープライズ
https://news.yahoo.co.jp/articles/eb05cb22f4a329a689fb4840023af6c1fef69f23?page=1
https://image.itmedia.co.jp/enterprise/articles/2011/24/kt2487_k_fig01.jpg

関連スレ
【PPAP】内閣府など、パスワード付きzipのメール送信を廃止 平井デジタル相「(パスワードを)電話で教える」 ★2 [雷★]
https://asahi.5ch.net/test/read.cgi/newsplus/1606232999/
 
 

引用元:【ファイル送信】「ZIPで送ります。パスワードはあとで送ります」は何故ダメなのか 代替策は? [ばーど★]


2: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:55:25.88 ID:XC/ZZ38A0

ノーガード戦法で
 
 


23: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:04:51.11 ID:B7Wg5Os30

>>2
それでいいよな
 
 


34: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:09:15.92 ID:Ns4UfM0/0

>>2
ああいうのって、送ってるほうも無意味とわかってて社内規定だからやってるだけじゃないの?
いつもノーガード添付で返信してるけど、いつか「あなたセキュリティーが甘いです」とか言われるのかな
 
 


3: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:55:46.13 ID:ESWTaUVt0

有能「パスワードをzipで送りました」
 
 


70: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:23:57.01 ID:w8iqnGz10

>>3
解凍どーすんのwwww
 
 


4: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:57:03.47 ID:OkeYFItb0

電話はソーシャルエンジニアリングの餌食になるだけ
 
 


5: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:57:30.45 ID:G0jerhlc0

ZIPファイルって何よ、どこで買えるの?
 
 


61: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:19:13.43 ID:BwuKJ/vQ0

>>5
Windows95の時代に買えた、フロッピーディスクに変わるメディアだよ
主にパラレルポートやSCSI接続だった

って言っても、知らんよね?w
 
 


110: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:39:37.72 ID:2+gtFjwIO

>>61
ZIPなんて知らんわ。
JAZなら知ってる。
 
 


6: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:58:23.88 ID:dur+XvHh0

ZIPつかわないで
 
 


7: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:58:30.68 ID:7WL4kAE10

パスワードはFAXで送るのが正解
 
 


8: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:58:32.57 ID:8Pnvsw8M0

パスワードはテレパシーで送れよ
 
 


11: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:59:02.73 ID:8+u88wa10

あとで送りますってのをパスワードにすれば以外と突破されない気がする
 
 


14: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 07:59:51.00 ID:S3+CgZww0

クラウドでやれよもう
 
 


15: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:00:37.78 ID:wjgXri/d0

手間かかるけど、物理ディスクを書留郵送が確実だな
 
 


16: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:00:45.74 ID:AefP3VIW0

どっかの企業が間違って送信したzipを無理やり開けたら契約書だった
 
 


17: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:01:03.48 ID:S3+CgZww0

メールとか5年後無くなってるよ
 
 


18: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:01:11.80 ID:MSEGyUsn0

ZIPでくれ
 
 


19: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:02:27.70 ID:x6dYynla0

ではishで送ろうか
 
 


20: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:03:27.55 ID:oZtXVcsD0

パスワード付きZIPはセキュリティーソフトでスキャンしてくれないから危険
という話でしょ
 
 


21: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:03:53.79 ID:D6oyyull0

まだZIPドライブなんて使ってる奴いるの?
 
 


77: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:27:16.20 ID:g1nNIVcf0

>>21
PDなら持ってるで
 
 


22: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:04:16.92 ID:Dan4Bke2O

秘密のZIPファイルを公開します
パスワードはいつもの
 
 


24: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:05:06.59 ID:BWrCvNJh0

時間稼ぎ
 
 


25: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:06:13.99 ID:9HGWdn0f0

中身丸見えでも構わないならzipでいい
 
 


26: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:06:41.22 ID:Dw3rPJCO0

ファイル名をパスワードにしたらいい
 
 


27: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:06:49.24 ID:egp4wl0N0

IT後進国といわれる訳だわ
 
 


28: 以下、\(^o^)/で30がお送りします 2020/11/25(水) 08:07:02.81 ID:CjN201L00

解析ツール出回ってたような気がする
 
 

この記事が気に入ったら
いいね!しよう
最新情報をお届けします

本日注目の話題!

コメント投稿

名前

     絵文字

いつもコメントありがとうございますm(_ _)m
アダルトとURLはNGワードにしています。(リンク先の安全確認が出来ないためです)
コメントができない場合は、一時的な不具合の場合があります。

芸能・ニュース
VIP・その他
厳選ピックアップ
見逃せない2chまとめ

前の記事次の記事