パスワードを忘れた? アカウント作成
14991447 story
インターネット

メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 72

ストーリー by nagazou
パスワードZip+別メールは未だに多い 部門より
政府機関や企業などでパスワード付きzipファイル廃止の動きが広がっているようだ。 平井卓也デジタル改革担当相が17日の会見で廃止について触れている(ITmedia)。政府の意見募集サイトである「デジタル改革アイデアボックス」に送られてきたアイデアを採用したものだという。マルウエア「Emotet」がパスワード付きzipファイルを使用して、セキュリティを回避していることなどが一因と思われる。

またクラウド会計ソフトなどのスモールビジネス向けの事業を手がけている「freee」も、メールによるパスワード付きファイルの受信を廃止すると発表している。こちらに関してはEmotet感染の緩和策であると明言している(freee株式会社日経新聞)。

なおプライバシーマーク付与事業を行っているJIPDECは11月18日、こうした発表を受けてメール添付のファイル送信についてという発表を行った。曰く

昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。

プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

としてそもそもパスワード付きのZipファイルなどに意味はないと強調している。

  • そもそも (スコア:2, 参考になる)

    by Anonymous Coward on 2020年11月20日 15時47分 (#3927875)

    一部の省庁は何年も前からzip自体を受け付けてませんね。本文は届くけどファイルは削除されます。
    他部署から異動してきた人には一言注意はしてますが、それでも最初の1,2回はzipで送ってるみたいで、先方から再送依頼がボコボコ返ってくるのが4月,10月の風物詩みたいになってます。
    それだけzipで送るのが習慣になってる人が多いのでしょうけど。

    ここに返信
    • by Anonymous Coward

      省庁は自分はパスワード付きzipファイルを送ってくるのに、受信は受け付けないところがありますね。何様のつもりなんだ、と。いや、省庁様なんですけどね。その業界では絶対的な権限を持っている存在なので逆らえない。

      省庁の中の人もPPAPが無意味であることをわかってて、それでも省内ルールか何かでパスワード付きzipを送らないといけないのか、パスワードが毎回同じ省庁の略称(metiとか)だったりしたことも。ある意味ありがたいがあほらしい。

      • by Anonymous Coward

        内閣サイバーセキュリティセンターが定めた政府機関等の情報セキュリティ対策のための統一基準 [nisc.go.jp]のなかに、

        職員等は、要保護情報である電磁的記録を電子メール等で送信する場合には、安全確保に留意して送信の手段を決定し、情報の格付及び取扱制限に応じて、安全確保のための適切な措置を講ずること。

        という記載があって、これに則って各省庁が「安全確保のための適切な措置」として暗号化することを定めているのでしょう。

  • 実際、パスワード付きzipを禁止しても別の暗号化方式を使うだけってことにならないかなあ。

    ここに返信
  • by minet (45149) on 2020年11月20日 15時10分 (#3927835) 日記

    河野氏との対話の場で平井氏は
    (中略)
    河野氏が推進する押印廃止になぞらえ、「全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。

    もうすっかりハンコが悪習の代名詞になってるっていうか、悪の烙印が押されててエモい。

    ここに返信
  • by Anonymous Coward on 2020年11月20日 14時09分 (#3927763)

    FAXで送信してたこともあったな~。
    仕方ないから、手紙で送ることにするよ。

    ここに返信
    • by Anonymous Coward on 2020年11月20日 14時14分 (#3927768)
    • by nekopon (1483) on 2020年11月20日 14時15分 (#3927772) 日記
      聞くところによると、Zip標準の暗号化は強度が残念らしい。
      • by Anonymous Coward

        パスワードの簡易チェックのチェックコードがあるので、全データを処理しなくても(12byteだけ処理で)間違いなのかわかる。
        ※無圧縮でパスワード付きにすると12byteと増えるデータが該当するデータです。
        ※簡易チェックが正しくても正解ではない場合もあるので、最後まで処理してファイルのcrcが正しいかチェックする必要があります。
        簡易チェックがある為、少しの処理で済むので、恐ろしく早くみつかるのである。

        しかも、複数ファイルを同じパスワードで圧縮している場合、2つ以上の簡易チェックが正しければ、ファイルの最後まで処理する機会は、ほぼ正解の時だけとなる。だから、ほぼ簡易チェックだけでみつかる。
        ※1つのzipファイルに複数ファイルを1つ1つ別のパスワードを設定しないから。

        • by Anonymous Coward

          既知のファイルがあると推測しやすくなると聞いたけど、
          既知のファイルは不要なんだ。

  • by Anonymous Coward on 2020年11月20日 14時15分 (#3927769)

    メールで社外に添付ファイルを送ると、自動的に暗号zip化されます。
    暗号は続けて自動でメール送信されます。
    意味があるのかどうかわかりませんが、セキュリティ委員は満足してるそうです。

    ここに返信
  • by Anonymous Coward on 2020年11月20日 14時15分 (#3927771)

    誰が言い出して、誰が強要して、誰が儲けたのか。

    ここに返信
    • by Anonymous Coward on 2020年11月20日 15時00分 (#3927824)

      PPAP総研というそのものズバリのシンクタンクが調べたところ [nii.ac.jp]では、

      一方, ISMSやプライバシーマークで, PPAPを実際に推奨する審査員やコンサルタントを探したが, 残念ながら今のところ見つかっていない. どうも, ISMS, プライバシーマーク犯人説は都市伝説の様相を見せている.

      https://twitter.com/tetsutalow/status/1328991364961366017 [twitter.com]

      そうで。誰が言い出したというわけではなく、ISMSやプライバシーマークの要求から生まれた自然発生的なものと捉えているそうです。

    • その純朴な金儲けのエネルギー保存則、全方位に有害なのでやめた方がいいですよ……

    • by Anonymous Coward on 2020年11月20日 14時52分 (#3927812)

      「おれじゃない」
      「あいつがやった」
      「しらない」
      「すんだこと」
      https://www.itmedia.co.jp/news/articles/2011/19/news164.html [itmedia.co.jp]

    • by Anonymous Coward

      誰が言い出して、

      これかな?違うかも。

      JISAにおけるプライバシーマーク審査項目の一部改訂について

      (3)【第23条】個人情報を含む添付ファイルを取扱う際に、セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じることを新たに追加した。

      https://www.jisa.or.jp/service/privacy/tabid/831/Default.aspx?itemid=31 [jisa.or.jp]

    • by Anonymous Coward

      大体メールのせい。
      そもそもメール自体が安全性に優れた通信手段ではない。誰とも知らぬ相手から連絡が届く時点で実質セキュリティホール。
      そこで暗号化を考える程度重要なファイルを送付するのがなお筋が悪い。
      パスワードを別経路で送ればなんとかという無理要求を適用しようとして現実の対応が歪んでいるのが現状。

      断じて使うなとまではいかないだろうが、セキュリティの向上を考えるならまずメール依存を潰すのが上策。

    • by Anonymous Coward

      うん
      それはとても気になる
      そいつを問い詰めたいし

  • by Anonymous Coward on 2020年11月20日 14時18分 (#3927776)

    プライバシーマークの取得は非推奨ってこと?

    ここに返信
    • by Anonymous Coward on 2020年11月20日 14時48分 (#3927808)

      A. プライバシーマークの付与業務はするが、審査はしない団体
      B. プライバシーマークの審査をして、Aの団体に上申する団体

      があって、Bの団体が「添付zipにはパスワードかけないと審査合格にしないよ」と言ってるけど、
      Aの団体は「添付zipにパスワード書けるのは推奨してないよ」と言っているということ。

      AとBに分かれているのが日本社会の闇。

    • by Anonymous Coward

      そうですよ。
      バカバカしいので、うちは更新を打ち切りました。

  • by Anonymous Coward on 2020年11月20日 14時21分 (#3927779)

    じゃぁどうすればいいのかって部分がすっぽり無いあたり、ううむという感想。
    個人情報をメールで送るなよってことかも。
    取引先で、請求書をいちいちパス付きzipで送る付けてくるところがあって、意味ないから
    やめてくれと言った記憶も。ひどいところになるとPDF送りつけて、はんこ押してFAXで返送しろなんて所も。
    キミはそれでもIT屋かよと言いたい。

    ここに返信
    • by Anonymous Coward

      PPAPについては、パスワードを別の送信経路で送ったり、事前に取り決めたりで、簡単に改善できる。
      が、今回はそもそもパスワード付きzipで送るな(ウィルス対策ソフトがチェックできなくなるから)という話なので、
      パスワード制限なしのzipで送るか、盗聴対策であればPGPみたいな仕組みを使う、またはダウンロードにパスワード要求するクラウドに共有するとかじゃない?

    • by Anonymous Coward

      >ひどいところになるとPDF送りつけて、はんこ押してFAXで返送しろなんて所も。
      >キミはそれでもIT屋かよと言いたい。

      この辺は、はんこ付きの書類が社内的に必要でIT屋だけではなんともしがたい理由が
      あるのでは、ないのかと・・・

    • by Anonymous Coward

      どうするもなにも、普通にPGPでいいじゃん。

    • by Anonymous Coward

      メール丸ごと暗号化して、メールサーバで復号すればいい
      既にそのための面倒臭くて全く普及してない標準規格があるので

    • by Anonymous Coward

      どうせ元データの作成にはMSOffice使っているのだから、Microsoft365のOneDriveで送ればいいような。

  • by Anonymous Coward on 2020年11月20日 15時14分 (#3927842)

    人によって少しずつ言っていることが違うんだけど、
    Excelとかも含めて「後から別メールでパスワード」は廃止になるんだよね?
    (そもそもxlsxがzipだろというツッコミはなしで。)

    ここに返信
    • by Anonymous Coward

      暗号化ファイルはメールサーバで削除されるようにしますってことでしょ
      ただファイルだけ消えるか本文中に「削除しました」と書かれるかメールごと握り潰されるかは実装次第

      • by Anonymous Coward

        freeeはそこまで言ってるけど、それ以外は単なる努力目標なのか分からないよね?

  • by Anonymous Coward on 2020年11月20日 15時27分 (#3927855)

    emotet対策として、自社に送られてきたパスワード付きzipファイルをブロックするというfreee社の対応は、そうしなければfreee社内でのemotetの感染を防げないと判断したと言うことではあるまいか?

    ここに返信
    • by Anonymous Coward

      そりゃそうでしょ
      ウイルスは未修正の脆弱性を突いてくるのに、しかもパスワードzipによって守られてるんだから

    • by Anonymous Coward

      暗号化zipされてなければメールサーバのウイルススキャンで防げて、暗号化zipをエンドポイントで解凍したら防げないというのもおかしな話。
      検出の仕組みは同じで同程度の防御力なのに。
      暗号化zipのような悪習の廃止を上層部に認めさせるための方便としてはいいと思うが。

      • by Anonymous Coward

        暗号化以外にも何重にもzipしたりフォルダーの階層が深くても検出できない場合がある。
        なのでメールサーバ云々言うなら暗号化zipだけでなく、アーカイブ自体を禁止しないと筋が通らない。
        もっとも禁止してしまうと不便が上回りそうなので、#3927875が言うようなバカなお役所だけにしといて欲しいが。

        • by Anonymous Coward

          極論するとパソコンと外部のデータのやり取り禁止ですね。
          騙されてsudo rm -fr no-preserve-rootとかやらかす人もいるからどうしよう?

  • by Anonymous Coward on 2020年11月20日 17時27分 (#3927965)

    同じルートでパスワード送るな → メールとDropBoxで、一方でパスワード、もう一方でzipを送ればいいのか?
    ウィルスチェックをすり抜ける → PGPでもなんでも、暗号化したものを全然送れなくなるのでは?

    ここに返信
    • by Anonymous Coward

      > 同じルートでパスワード送るな → メールとDropBoxで、一方でパスワード、もう一方でzipを送ればいいのか?
      DropBox使ってるのにさらに暗号化してZIPとか、無駄な手間かけすぎだろ

      > ウィルスチェックをすり抜ける → PGPでもなんでも、暗号化したものを全然送れなくなるのでは?
      DropBox使えるならメールで送るとかしなくていいだろ
      てか今時メールで添付ファイル送るのって本当にどうしようもない状況を除けば迷惑行為に近い
      このコロナ騒ぎのご時世に、マスクしないで近距離で話しかけてくるやつみたいなもん

  • 編集者 nagazou氏のミスリードが酷過ぎます。
    タレコミを捻じ曲げるし、虚偽の情報を付加しています。
    このサイトをご覧になる方はご注意ください。

    JIPDECはPPAP方式を「推奨してない」とは言いましたが、「パスワード付きのZipファイルなどに意味はないと強調している」ということはありません。
    以下、AC氏のタレコミ時にコメントしている内容です。

    プライバシーマーク推進センター、PPAP方式のメール添付は従来から推奨していない | スラド Submission
    https://srad.jp/submission/90837/ [srad.jp]
    防止策例のご紹介:ミスの防止(1) (#3926848) | プライバシーマーク推進センター、PPAP方式のメール添付は従来から推奨していない | スラド
    https://srad.jp/comment/3926848 [srad.jp]

    個人情報の取扱いに関する事故を起こさないために【メール誤送信を防ごう】(PDF)の23ページ目で
    https://privacymark.jp/system/reference/pdf/tools_accidents_1_main.pdf... [privacymark.jp]

    防止策例のご紹介:ミスの防止(1)
    添付ファイルへの対応
    で以下の様にPPAP方式を紹介しています。

    万が一、誤送信が発生した場合に備えて
    •送りたいファイルをパスワードをつけて暗号化する。
    •パスワードは簡易なものにしない。
    •パスワードを相手に伝えるためには別の通信経路で送る

    送りたいファイルに上記の対策をした上で、ファイル転送サービスなどを利用する手段もあります。

    ここに返信
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...