物理の駅 Physics station by 現役研究者

テクノロジーは共有されてこそ栄える

なぜパスワードで暗号化したファイルをメールで送ってはいけないのか

セキュリティの基本は「人は愚かである」という前提に立つことである。しかし、我が国のセキュリティ意識は多くは「頑張ればなんとかなる」精神に立っており、しばしば誤った頑張り方が重大なインシデントを招く。その一つが、

個人情報や機密情報を送ろうとするときに、PDFファイル、Excelファイル、Wordファイル等にパスワードをかけて暗号化して送り、別のメールでパスワードを送る という日本人固有のセキュリティ仕草

である。パスワードをかけて送ることの動機は単純で、普段と違うものを送信するのだから、普段とは違う行為をしなければならないと考えているのだ。(なんとか認証を受けるためとも言われてる。)この普段とは違うとは、セキュリティを本当に高める行為ではなく、自分が知っていて、相手も知っていて、なんとなく頑張った気になれる方法という意味である。

なぜ暗号化は無意味か?

そもそも、我々は、個人情報や機密情報を誰(何)から守らなければならないのだろうか。通常、不正アクセスしようとするときは、次のような手段が考えられる。

  1. メールを送った人のパソコンに物理的に不正アクセス
  2. メールを送った人のパソコンやメールボックスに遠隔で不正アクセス
  3. 送信の途中経路で情報を搾取
  4. メールを受信した人のパソコンやメールボックスに遠隔で不正アクセス
  5. メールを受信した人のパソコンに物理的に不正アクセス

ファイルをパスワードで暗号化し、パスワードを別送すると、どのケースで情報を守ることができるのだろうか?

答えは、3以外のケースで守れないである。

1.と 5.の物理的にアクセスできるなら、パスワードを書いた別メールも閲覧できるため無意味である。2. と 4. も同じで、パソコンやメールボックスにアクセスできるなら、別送のメールを即座に削除しているのでなければ無意味である。3. については、送信サーバーと受信サーバーの経路間が暗号化されていれば、パスワードをかけていなくても盗聴されないし、経路間の暗号化に対応してない場合は、パスワードをかけていても全てのメールを盗聴し放題なので無意味である。

すなわち、守れる限定的なケースは、送信者・受信者が誤ってそのファイルを無関係な人に渡したり送信したりしてしまうケースのみである。誤送信してしまう可能性まで考慮するなら、暗号化前のファイルを送信してしまう可能性もあるし、根本的な解決策にはなってない。しかも、暗号化に脆弱性があったり、パスワードが短かったりすると、意味をなさない。

なぜ暗号化は有害か?

パスワードをかけた暗号化したファイルの送受信は、別の観点からも危険な行為である。

通常、添付ファイルがウイルスに感染しているかどうかは、メールボックス(Gmailなど)と、パソコンのセキュリティソフト(Windowsセキュリティなど)の2つ*1の関門で検査する。パスワードで暗号化されたファイルは、中身がウイルスに感染していてもメールボックス(Gmailなど)では検知できず、最初の関門、そしてGmailであれば最強の関門をスルーしてしまうのだ。

普段からパスワード付きメールを送る傾向にある組織は、セキュリティ意識が低い場合が多く、メールボックスでの添付ファイルの検査が不十分だったり、パソコンのセキュリティソフトやOfficeソフトウェアがアップデートされていなかったりと、ウイルス感染のリスクが高い。普段から暗号化されたファイルの送受信をしていれば、そういうなりすましメールを受信した時に、疑いなくウイルスをパソコンにダウンロードし、開いてしまいやすい。ゆえに、そういう組織のパソコンを一つでも乗っ取ってしまえば、そこから関係者に感染を広げることが容易であると言える。

ではどうすればよいのか

まず、添付ファイルを使わないことが第一である。暗号化有り無しに関わらず、添付ファイルで個人情報や機密情報を送らない方が良い。

同一組織内であれば、各個人が保有している認証情報を使ってアクセスできる場所にファイルを置き、閲覧者を限定し、そのURLをメールで送るのが良い。認証情報はその個人しか保有していないと仮定してよいし、そういうサービスはほぼ確実に暗号化されているので盗聴の心配も少ないだろう。仮にURLが漏れても、他の人はアクセスできない。他にも、SlackやTeamsなどのようなチャットツール経由で送るのも有効である。閲覧者が限定できかつ暗号化されている。

異なる組織間であれば、個人情報や機密情報を扱うなと言いたい。個人情報や機密情報は異なる組織間で勝手に共有していいものではない。どうしても必要ならば、仮の組織を作って、上記のように各個人が保有している認証情報を使ってアクセスできるようにするか、できなければメールアドレスを保有していることを要件としてアクセスを可能にできるクラウドサービスOneDriveやGoogleドライブを使うべきである。URLが漏れてもメールアドレスの所有者でない限りアクセスできないケースが多い。

また、同一組織内・異なる組織間のいずれのケースでも、閲覧者にファイルをダウンロード・印刷させず、ウェブブラウザでの閲覧に制限できるならなお良い。さらに、一定期間が過ぎるとURLが無効になる設定や、ダウンロード回数に制限を設ける設定も有効だろう。

まとめ

人は愚かである。セキュリティは破られるという立場に立つと、やるべきは破られた時に発覚しやすく、他者への影響が最小限であることが求められる。パスワードで暗号化したメールは、どのケースでも個人情報や機密情報が守れないばかりでなく、セキュリティインシデントの発覚を遅らせ、他者への悪影響がより大きい行為であり、セキュリティ規則で禁止してしまったほうがいい行為であるといえる。

この件に限らず、セキュリティの常識は年々変化する。例えば、コンピュータ(特にGPU)の発展から、パスワード長に対する要件が年々厳しくなっている(ファイルへの8桁パスワードなら数時間で破られる)。 よって、定期的に専門家の監査を受けるとか、普段からアンテナを高くして最新のセキュリティ事情を知るとか、そういう姿勢が、これから社会人になる皆さんには求められているだろう。

*1:OfficeやAdobeなどのソフトウェアに脆弱性がないことも重要だが、ウイルスを検知できるわけではないので、ここでは2つとする