パスワード付き添付ファイルの危うさ

メールでファイルを送る場合、「パスワード付き圧縮ファイル」化して送るのが
ビジネスマナーのように言われて久しい。

主たる目的は情報漏洩防止。
当然のことだが、パスワード付き圧縮ファイルはパスワードが無いと解凍できないので、
万が一、途中で情報を抜き取られても中が見られないから大丈夫、というわけ。

２０００年代の中ごろから言われ始めたようで、当初パスワードはお互いだけが知っている
「秘密鍵」方式だったが、２０１０年ごろからはパスワードを別メールで送る方式が一般化している。

少し古い記事を読むとこの手法がごく当たり前のように書かれている。
メールにファイルを添付すると自動的にパスワード付き圧縮ファイル化されるようにする支援ソフトを
組み込んでいる会社もあるようだ。

ところが、セキュリティ上あまり意味がないことを指摘する記事が２０１８年ごろから増え始め、
最近ではむしろ弊害が大きいとさえ言われている。

まず、セキュリティ上あまり意味がない理由はこうだ。
送られてきたメールの添付ファイルはパスワード付き圧縮ファイルなのでそのままでは読めないが、

・解凍するパスワードが同じメールアドレスに追っかけで送られてくるので、仮に悪意を持って
　添付ファイル付きメールを盗聴した（できた）人は、パスワードが書かれたメールも盗聴できる。

・自動生成されたパスワードは８桁の大文字小文字を区別した英数字が殆どで、総当たり方式でも容易に解析できるので、
　盗聴されたパスワード付き圧縮ファイルのパスワードを知られなくてもセキュリティが破られる可能性は高い。。

・唯一セキュリティ上有効と思われるのは、パスワード付き圧縮ファイルを間違った相手に誤送信して、
　パスワードを送信する前に気づいたケースだが、支援ソフトで自動的に行っているケースがほとんどで、
　（誤送信した）同じ相手にパスワードも送り付けてしまう。

さらに、弊害については、以下のような指摘がある。

・いちいちパスワードを待って解凍するわずらわしさを相手に強いる。

・外部からウィルス付きのパスワード付き圧縮ファイルが送られてきた場合、ウィルス対策ソフトで
　検知することがむずかしい。

・パスワード付き圧縮ファイルではセキュリティが確保されないのに、やっているという思い込みを与える。

最近では、布マスクやシリコンマスクの飛沫防止効果が不織布マスクより低いことが指摘されているが、
それ以上に飛沫防止や感染防止に効果の低いフェイスシールドやマウスシールドをすることで
感染対策をやっていると思いこむのと同じようなものでしょう。

事程左様にあまり意味がないと思われる方式で、揶揄してＰＰＡＰとも呼ばれているらしい。

Password付きzipファイルを送ります、Passwordを送ります、Aん号化（暗号化）Protocol（プロトコル）