パスワードを忘れた? アカウント作成
13801598 story
情報漏洩

ZIPのパスワードを直後のメールで送る不思議 200

ストーリー by hylom
何週目だろう 部門より
maia曰く、

@ITの連載記事「こうしす!@IT支線」の「21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?」が、今更だが興味深い。

添付ファイルをパスワード付ZIPにして直後のメールでパスワードを別送する手順が、企業や政府等(市区レベルでも)に広くみられるようだ。セキュリティ的には意味がないと思われるが、それとも何か計り知れない事情があるのだろうか。パスワードはまったく別の手段・経路で送る、というのなら分かるが。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • その理由は、.. (スコア:5, すばらしい洞察)

    by gm300 (14617) on 2018年12月23日 22時01分 (#3538740) ホームページ 日記
    簡単。規則だから。
    なぜそんな規則か?これも簡単。IT部門が「ちゃんと対策打っています。」と答えることができるから。
    なぜ私は、そんなレベルの会社にいるのか。
    • by st1100 (45287) on 2018年12月25日 23時17分 (#3539586)

      取引先のいくつかの県で
      ファイルを添付するときは、パスワード付きZIPにしなければならない(or自動的にそうされてしまう?)
      という規則(orシステム仕様)

      <本来であれば普通にメール添付とする程度のファイル>を添付する際に、追ってパスワードを送信してくる。

      親コメント
  • 情報の重要度による (スコア:5, すばらしい洞察)

    by clay (41656) on 2018年12月25日 20時25分 (#3539457) 日記

    >セキュリティ的には意味がないと思われるが

    よくこういう主張見るけど、個人的には「一般家庭にある門なんて自由に開けられるから意味が無い」って主張と同列に見えるんですよね。
    無いよりはマシとか心理的な障壁になればOK、というセキュリティ対策だってありだと思う。
    要は、費用対効果、守りたい情報の重要度によって使い分ければ良いのでは?

    • by bero (5057) on 2018年12月26日 19時00分 (#3540064) 日記

      多層防御の一層ならよいが、本当に無意味で対策したつもりになるだけで下手に安心してしまうなら、むしろ害になるのでは?
      例えばホメオパシーのレメディやら水素水?やらで対策したつもりになって医療にかかる機会を失って悪化するとか。
      zipの場合はどっちが知らんが、医学なりセキュリティの偉い人のいうこと聞いといた方が無難なんじゃないの

      親コメント
  • by akiraani (24305) on 2018年12月23日 16時55分 (#3538610) 日記

    zipファイルの中身について返信を返したところ、うっかり広範囲にわたるメーリングリストをCCに入れたままついでにファイルも添付してしまい、見られたくない部門にまでファイルが拡散してしまった。
    担当者に転送しようとしたところ、うっかり以下略

    そのような場合に、パスワードを別メールで送っていれば、暗号化されているから安心だねっことだと思われます。

    そんなのだけ対策して意味があるのかと言われるとほぼ無意味なのは同意ですが……。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
  • PGPとかS/MIMEとかあるのに、なぜ流行らないのでしょう。
    20年前にPGPで暗号化してみたけど、対応してくれた相手は1人しかいなかったので、自然消滅。
    まあ、PGPは複雑で皆に勧めるわけにはいかなかったのだったけど、S/MIMEは簡単そうなので、こっちでやれば良いのにと思う。
    でもこっちはこっちで証明書発行がネックになりそう。でも野良証明書でも、ノーガードよりはましだと思うのになぜ流行らない・・。
    わざと、暗号化メールが流行らない様にしているのではないかと勘ぐってしまう。。。。
    まあ、暗号化されると諜報活動もそうですが、宣伝活動にも邪魔という理由の方が大きそう。。

    • by Anonymous Coward on 2018年12月25日 22時45分 (#3539564)

      S/MIMEを前職で使ってました。
      ただ、前職ではいくつか運用上の欠点があってちょっと不便でした
      - 受信側の証明書が失効し、削除すると過去のメールの復号できない
      - 証明書プロバイダの変更(まさかのコモドに)で証明書がどんどん増える
      - ハッシュ関数の強度が不十分まま、運用されているため、衝突攻撃に弱い
      - 自社セキュリティソフトが働いて、Outlook起動時の復号処理で、まれにOS巻き込んでハングアップする
      - 退職しても証明書が失効しなかった

      親コメント
  • ポーズ (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2018年12月23日 15時30分 (#3538575)

    いわゆる「ポーズ」で、なんかケアしてますってことかと。
    他にいい代替案があればすぐ乗り換えるでしょう。でもない。

    他にも、何か問題をおこした下請けがありったけの人数を集める
    とかいうのもある。烏合の衆なんだけど、一生懸命やってます感が出せる。

  • by Anonymous Coward on 2018年12月25日 20時45分 (#3539468)

    「うちは対策しているか?」と質されたときに、
    ・パスワードを定期的に変更していますとか
    ・暗号化してますとか
    何か答えておけば、偉い人は納得するのです。

  • by Anonymous Coward on 2018年12月23日 15時36分 (#3538578)

    パスワードはFAXで。
    メールとは違う経路で送れるのがポイント
    IP化されてるとアレだけど。

    • by Anonymous Coward

      では伝書鳩にしましょう

  • 「えーとあのですね、パスワードは大文字のケーの次にドルマークで、その次に7じゃないや小文字のzで・・・」

  • by saratoga (23467) on 2018年12月25日 19時07分 (#3539410) 日記

    費用対効果を考えて、このルールが妥当かどうかという判断ができない頭脳が、このルールをゼロから思いついたとは思えないよね?きっとどこかに大元の参照元があるんだよ。
    たとえば、スラドでも以前話題にのぼったように「パスワードを定期的に変更しよう」と提唱した研究者は後悔してるらしいけど、そのルールだけは墨守されている。それと一緒。
    (こちらは、「NIST SP 800-63」で検索すれば出てくる)
    なので、「意味なし」って大合唱するよりは、元ネタ探して、その最新状況を晒したほうがおそらく建設的かと。
    スラドのユーザの中には出典知ってる人ももしかしたらいるんじゃない?

  • 何もしないわけにもいかないし、
    でもメールの暗号化にしろファイル共有にしろ、
    受信側(つまりは顧客)に何らかの準備が必要なものがほとんどだし。
    受信側に特段の準備を求めない or 受信側の環境を問わない、って超重要な要件でして。

    という検討の結果、あまり意味がないと知りつつ、
    形式的にZIPパスワードを別メールで送る運用になりました。
    労力も含めて一番低コストですしね。

    何かお手軽な手法が標準機能になってくれれば有難いのですが。

  •  噂によるとマイナンバーカードには、個人認証のための公開鍵だか何だかが組み込まれていて、eTaxなんかで利用できるらしい。
     この個人認証のための公開鍵をメールとかで利用できるのかしら?

    //公開鍵認証基盤(PKI)って、情報処理技術者試験では出てくるけど、実用にしていると言う話を聞いたことが無い。
    //成功例って、どこかあるの?

  • >セキュリティ的には意味がないと思われるが、
    すぐにそういう判断をできる時点で専門知識(インターネットメールは特になにもしなければ平文でやりとりされる)がある人の発想なのかと。

    取引先から初めてこの手のメール(添付ファイルがあるとシステムが自動的に暗号化ZIPに変換し、別のメールで解除パスワードを「平文」で送る)を受け取った時は大笑いしました。

    #返礼として添付ファイル(勿論機密情報ではない)を暗号化ZIPにして、パスワードはFAXで送ってあげました。

    が、まもなくしてこれっていわゆるポーズなんだなと気づきました。仕組みを分からない人には「当社はこのように個人情報保護やセキュリティに取り組んでいます」と言えば通じますからね。
    #そして今や勤め先でも同じ仕組みが導入された・・・笑えない

    因みに、昔(20世紀だった)行った個人情報をやり取りする取引での対応は次の通りでした。

    • 先方ご指定のメールソフトを購入
    • 先方から公開鍵が郵送で送られてきて、こちらのメールソフトにインストール
    • メール本文そのものが暗号化。受け取ったこちら側で複合

    #さすがは郵政省と感心した

  • by Anonymous Coward on 2018年12月23日 15時45分 (#3538583)

    何でもかんでも暗号化して送れなんて、クソな運用ルールを情シスとか監査部門が作るもんだから、セキュリティ的に意味がないのをわかってやってる。
    暗号化する必要のない情報はなんちゃって暗号化+メール添付で。
    もちろん、重要な情報はまともな手段で送る。

    本当に意味がないんだけど、何度言っても担当部門にはセキュリティリスクと利便性を天秤にかけるという発想が理解できないので変わらない。
    セキュリティ事故が起きたら、事故の数だけ新ルールが追加されて絶対に減らしたり整理したりしない。
    添付ファイル自動暗号化+自動送信でパスワードを後から送るなんて運用もそういう所から生まれる。

    • by Anonymous Coward on 2018年12月25日 19時57分 (#3539441)

      そうそう。ほんと本末転倒。
      で、宅ふぁいる便その他類似サービスを使おうと思ったら禁止されるし。
      じゃあと添付ファイル自動暗号化を見積もり取って提案したら「高い」と。
      procmailで簡易なものは出来なくもないけど面倒見たくないので黙ってる。

      仕方ないので、OpenUploadをDMZ上に置いて使っています。
      なぜかこれはOKが出た。

      親コメント
    • by Anonymous Coward

      Zipとかにもワンタイムパスワード的な機能があればいいのにね

    • by Anonymous Coward

      ええ、どっかのセキュリティソフトを扱っている会社もだったような。。(大手メーカー系) そこのUSBガード、PC起動後に動くのでタイムラグがある。
      試してみたい誘惑にかられて、、、困った。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...