メール添付のセキュリティを考える
仕事で電子メールを使っていない人っているのかなぁ?というくらい、当たり前の通信手段になっていると思います。
電子メール(eメール)は、インターネット網を介してやりとりするものです。
そのインターネットは、誰でも使える一般道、利用者を選別したり制限したりすることはありません。
つまり、煽り運転をするような悪意のある輩も跋扈しているのです。
むしろ、そういう輩が普通にいるという事を意識して利用する必要のあるインフラだという事です。
さて、ここまでは前置きです(笑)。
その危ないインフラ網の上でやり取りする電子メール、フツーに送ると丸見えだということ、ご存知ですか?
紙の郵便に置き換えると、ハガキと同じです。
封筒に入っていれば、封を切らない限り、中身は見えませんが、ハガキは宛先人以外でも手に触れる人には読まれてしまいます。
観光地から絵ハガキ送る以外で、ましてやビジネス用途でハガキは使わないですよね?
実は、殆どの人がこの丸見え状態で使っているのです。(笑)
メールの暗号化
では電子メールをまずは、ハガキから封書にするにはどうすればよいか?
暗号化が必要です。
電子メールの暗号化は、送り手、受け手、両方が暗号化に対応していなければなりません。
かなり一般化はしてきていると思いますが、全体で見たら、50%に満たないのではないでしょうか。
中小企業のレベルでは皆無に近いと思います。
参照:https://www.designet.co.jp/info/?id=290
さらに、その電子メールにファイルをそのまま添付して送付する場合を考えてみましょう。
暗号化していなければ、ハガキで送るのと同じです。丸見えです。
では、そのまま添付はセキュリティ上危険だなあと、Zipファイル化してパスワードが無ければ解凍できない形式で送るケースは如何でしょうか?
いわゆる PPAP です。
しかし、2020年11月24日、当時のデジタル改革担当大臣 平井卓也氏が、中央省庁の職員が文書などのデータをメールで送信する際に使う、パスワード付きZipファイル(通称PPAP)を廃止すると発表しました。
このニュースは、当時は結構なインパクトでネットをかけめぐり大いに賑わし、「PPAP」という通称名も一気に広まりました。
が、1年半経った今、周りを見渡してみても、さほど対策が進んだ印象はありません。
まあ、ノド元過ぎればって事じゃあないでしょうか?苦笑
PPAPがどうして良くないのか?
中身の様子が簡単に推測できる
解凍しようとクリックしてみると、ディレクトリ構造、ファイル名が見えてしまいます。
何となく中身がどういうものか推測できてしまいますよね?
パスワードを無限に試行できる
ローカルファイルなので、パスワード入力の試行チェックができない。
無限に試行できる。つまり、解除ソフトを使って解除されるリスクが高い。
アンチウイルスソフトのチェックをすり抜ける
パスワード付きZipファイルは、メールサーバやパソコンのウィルスチェックをすり抜ける可能性が高い。
一般的なものではチェックをスルーします。
この仕組みを利用して、マルウェアを仕込んで送りつける攻撃手法もあります。
如何ですか?
頭隠して尻隠さずで、セキュリティ対策と呼べるものではないと思います。
それを国の機密情報を扱う省庁職員が使っていたとあっては、日本国として問題ですよね!?
じゃあ何が安全なのか?
ファイル転送サービスを使う
送るファイルを予めオンラインストレージに上げておき、それをダウンロード可能なURLをメール本文に付記して送る方法。
これが一般解となりつつあります。
オンラインストレージに上げることで、ウィルスチェックもされますので、相手にウィルス入りのファイルを送るという失態を回避できます。
ダウンロードするURLは、期限、パスワードを設けることが可能です。
仮に誤送信してしまっても、期限、パスワードでダウンロードのリスクは落とせます。
最後まで読んでいただいた方は、きっと解決法をお探しなんですよね?(笑)
弊社のオクローもご一考いただけると幸いです。
シンプルに、企業ユースでの管理性を併せ持ったサービスとして、ご愛顧頂いております。
30日間の試用も可能です。
よろしければ「いいね」を押してください!
読み込み中...
