パスワードを忘れた? アカウント作成

IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信」記事へのコメント

  • パスワード付きZIPファイルを添付したメールが悪いんじゃなくて、そのメールを送った後にパスワードを書いて送るのがダメな話なんですよねぇ。

    私がパスワード付きZIPファイルを送る場合は、事前に電話をしてそこでパスワードを決めてから送る、というようにしてます。

    • by Anonymous Coward on 2021年11月19日 14時54分 (#4155377)

      安全な経路で別途パスワード送っておくのが良いですねぇ。
      …FAXとかw

      SSLの証明書とまぁ同じような理屈だね。
      ハンドキャリーでパスワードリスト渡して、何番目使ったよーとか伝えるのが一番原始的だけど確実かな。

      事前共有キーワードと日付をハッシュしたのをパスワードにする、ってぐらいでも良い気もするんだけどね。
      毎日違うパスワードになるので、パス使い回しだけど使い回しじゃない感じになる。

      • by Anonymous Coward

        協力会社さん含めこれでやってた
        ランダムに変えると後でメールあさった時に開けられないってこともあってなぁ

      • by Anonymous Coward

        パスワード付きZIPは安全じゃないので止めようってのが最近の流れね
        事前共有キーとかは本質ではない

        • by Anonymous Coward

          じゃあ、パスワード付き7zならいいのか?

          パスワード付きZIPで送られることのデメリットは喧伝されているけれど、メリットもあるんじゃね?
          たとえば、解凍しない限りファイルの内容をカジュアルに読み取られることはない
          セキュリティレベルの低い取引先に情報送らなきゃならない案件なんて山ほどあって、PPAPでもできるだけマシってな場合もある。
          ProsConsどちらもどっちを取るか、って話じゃないかなと思うんだ

          PPAPを廃止したとして、対案は何なんだろう?
          オンラインストレージ使えば社内に持ち込まれるときにウイルスチェックできるとでも?

          • by Anonymous Coward
            A社に送るつもりだった書類の宛先を間違えて、B社宛てに送ってしまう。
            B社には、パスワード付きファイル本体がメールに添付されて届く。そのファイル用のパスワードも別のメールでB社に届く。
            B社にはファイル本体もパスワードも届いているので、B社の人はファイルの内容を読めてしまう。

            上記のような状況では情報漏れの防止にはならないのに、いかにも何か効果があるように言っているのでPPAPなどと揶揄されているのです。(ファイル本体がある時点で、無限にパスワード入力の試行を行える等の話もあったかとは思いますが)
            • by Anonymous Coward

              うーん。
              宛先誤りは 「PPAP『が』脆弱」 ではなく 「PPAP『も』脆弱」 ではないでしょうか?

              たとえばオンラインストレージのアクセス制限で代替したとして、許可を与える相手を間違えたら当然漏れますし。
              事前に相手を認証しておくなら、別チャネルでキーを事前共有するのと同じではないかと。
              (もちろん別の観点で差があるかもしれない)

              「脱PPAPのベストプラクティスはこれが共通認識ですよ」的な話がセキュアな方々からもあまり聞かれなくてモヤモヤします。

              • by Anonymous Coward

                そんなものないのです。海外でもマルウェア対策で暗号化ZIP使わないほうが良いと言われてるけど機密レベルが高いと使ってる場合だってあるし、暗号化ZIPだと宛先間違いされると意味がないと言うなら、他のツリーであるようにWebストレージ使ってもパスワードやURL送るときに宛先間違ってたら漏洩はする。先にパスワードを定めてもファイルが漏洩したら力技で復号できるし、ファイル交換用のサービスとアカウントを用意するのはコストや即時性の問題があるし、結局相手の真正性の確認って取れてるの?って話になる。

                全ての問題を解決できる方法がないから、どれかに注目して対策をうつしかない。でもそれって現状からなんか改善されてるんだっけ?っていう。
                方法が定まらないのにやめる発言しちゃった大臣は罪深いと思う

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...