メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 72
ストーリー by nagazou
パスワードZip+別メールは未だに多い 部門より
パスワードZip+別メールは未だに多い 部門より
政府機関や企業などでパスワード付きzipファイル廃止の動きが広がっているようだ。 平井卓也デジタル改革担当相が17日の会見で廃止について触れている(ITmedia)。政府の意見募集サイトである「デジタル改革アイデアボックス」に送られてきたアイデアを採用したものだという。マルウエア「Emotet」がパスワード付きzipファイルを使用して、セキュリティを回避していることなどが一因と思われる。
またクラウド会計ソフトなどのスモールビジネス向けの事業を手がけている「freee」も、メールによるパスワード付きファイルの受信を廃止すると発表している。こちらに関してはEmotet感染の緩和策であると明言している(freee株式会社、日経新聞)。
なおプライバシーマーク付与事業を行っているJIPDECは11月18日、こうした発表を受けてメール添付のファイル送信についてという発表を行った。曰く
またクラウド会計ソフトなどのスモールビジネス向けの事業を手がけている「freee」も、メールによるパスワード付きファイルの受信を廃止すると発表している。こちらに関してはEmotet感染の緩和策であると明言している(freee株式会社、日経新聞)。
なおプライバシーマーク付与事業を行っているJIPDECは11月18日、こうした発表を受けてメール添付のファイル送信についてという発表を行った。曰く
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。
プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。
としてそもそもパスワード付きのZipファイルなどに意味はないと強調している。
そもそも (スコア:2, 参考になる)
一部の省庁は何年も前からzip自体を受け付けてませんね。本文は届くけどファイルは削除されます。
他部署から異動してきた人には一言注意はしてますが、それでも最初の1,2回はzipで送ってるみたいで、先方から再送依頼がボコボコ返ってくるのが4月,10月の風物詩みたいになってます。
それだけzipで送るのが習慣になってる人が多いのでしょうけど。
Re: (スコア:0)
省庁は自分はパスワード付きzipファイルを送ってくるのに、受信は受け付けないところがありますね。何様のつもりなんだ、と。いや、省庁様なんですけどね。その業界では絶対的な権限を持っている存在なので逆らえない。
省庁の中の人もPPAPが無意味であることをわかってて、それでも省内ルールか何かでパスワード付きzipを送らないといけないのか、パスワードが毎回同じ省庁の略称(metiとか)だったりしたことも。ある意味ありがたいがあほらしい。
Re: (スコア:0)
内閣サイバーセキュリティセンターが定めた政府機関等の情報セキュリティ対策のための統一基準 [nisc.go.jp]のなかに、
という記載があって、これに則って各省庁が「安全確保のための適切な措置」として暗号化することを定めているのでしょう。
送信先を間違えるってことは、続けて送るパスワードの送信先も間違うよねー(ちがう、そこじゃない (スコア:1)
実際、パスワード付きzipを禁止しても別の暗号化方式を使うだけってことにならないかなあ。
Re:送信先を間違えるってことは、続けて送るパスワードの送信先も間違うよねー(ちがう、そこじゃない (スコア:3, 参考になる)
メールシステムによっては、添付ファイルがあると自動的に暗号化zipファイルに
変換して、自動的にパスワード通知メールを送信してくれるものがあります。
例えば、
https://www.canonet.ne.jp/service/zip/index.html [canonet.ne.jp]
https://shared.gmocloud.com/iclusta/option/mail-temp/case/ [gmocloud.com]
https://www.ciphercraft.jp/ad_enc/ [ciphercraft.jp]
自分に届くメールでも、上記のようなツールを使っていると思われるものが結構
たくさんあります。
こういうツールを使っていて、送信先を間違えたら、間違えた宛て先にパスワード
も送信されてしまいます。
Re: (スコア:0)
ファイル転送サービスでもURLとパスワードを別メールで自動送付するのあるけど、
何も防止できないですよね(?)
Re: (スコア:0)
誤送信に気が付いた時、ファイルを削除することができます。
誤送信先がファイルを取得する前に削除が間に合えば、漏えいを防げます。
Re: (スコア:0)
うちの会社は面白いぞ。
添付ファイルを自動的に暗号付きZipファイルにするくせに外部から送信されたZipファイルは受取拒否。
もっと面白いのは同じ対応をしている会社にお前のところが送るメールの添付ファイルzip化をやめろやとか言われたこと。
Re: (スコア:0)
相手の公開鍵使う暗号化方式とかなら問題ないんじゃね?
送信先間違えても心配いらんし
# で、「ちゃんと開けないんですけど、この鍵使うんですよね?」ってメールで秘密鍵を送ってくる
Re: (スコア:0)
PGPは有害無益?
https://security.srad.jp/story/16/12/21/0422242/ [security.srad.jp]
烙印 (スコア:1)
もうすっかりハンコが悪習の代名詞になってるっていうか、悪の烙印が押されててエモい。
Re:烙印 (スコア:2)
この文脈での「烙印」は抽象的な意味なのでDXできませんが、
あえて物理的に考えると、烙印=焼印なのでハンコに焼印を押すという
シュールな絵に。
-- う~ん、バッドノウハウ?
昔はFAX (スコア:0)
FAXで送信してたこともあったな~。
仕方ないから、手紙で送ることにするよ。
Re:昔はFAX (スコア:1)
鳥類キャリアによるIPでなくて? [wikipedia.org]
Re:昔はFAX (スコア:2)
鳥インフルエンザが広まったりして
Re:昔はFAX (スコア:1)
Re: (スコア:0)
パスワードの簡易チェックのチェックコードがあるので、全データを処理しなくても(12byteだけ処理で)間違いなのかわかる。
※無圧縮でパスワード付きにすると12byteと増えるデータが該当するデータです。
※簡易チェックが正しくても正解ではない場合もあるので、最後まで処理してファイルのcrcが正しいかチェックする必要があります。
簡易チェックがある為、少しの処理で済むので、恐ろしく早くみつかるのである。
しかも、複数ファイルを同じパスワードで圧縮している場合、2つ以上の簡易チェックが正しければ、ファイルの最後まで処理する機会は、ほぼ正解の時だけとなる。だから、ほぼ簡易チェックだけでみつかる。
※1つのzipファイルに複数ファイルを1つ1つ別のパスワードを設定しないから。
Re: (スコア:0)
既知のファイルがあると推測しやすくなると聞いたけど、
既知のファイルは不要なんだ。
自動的に (スコア:0)
メールで社外に添付ファイルを送ると、自動的に暗号zip化されます。
暗号は続けて自動でメール送信されます。
意味があるのかどうかわかりませんが、セキュリティ委員は満足してるそうです。
Re:自動的に (スコア:1)
まあ分かるけど。
じゃあ誰のせいなんだ (スコア:0)
誰が言い出して、誰が強要して、誰が儲けたのか。
Re:じゃあ誰のせいなんだ (スコア:2, 参考になる)
PPAP総研というそのものズバリのシンクタンクが調べたところ [nii.ac.jp]では、
https://twitter.com/tetsutalow/status/1328991364961366017 [twitter.com]
そうで。誰が言い出したというわけではなく、ISMSやプライバシーマークの要求から生まれた自然発生的なものと捉えているそうです。
Re:じゃあ誰のせいなんだ (スコア:2)
その純朴な金儲けのエネルギー保存則、全方位に有害なのでやめた方がいいですよ……
Re:じゃあ誰のせいなんだ (スコア:1)
「おれじゃない」
「あいつがやった」
「しらない」
「すんだこと」
https://www.itmedia.co.jp/news/articles/2011/19/news164.html [itmedia.co.jp]
Re: (スコア:0)
誰が言い出して、
これかな?違うかも。
JISAにおけるプライバシーマーク審査項目の一部改訂について
(3)【第23条】個人情報を含む添付ファイルを取扱う際に、セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じることを新たに追加した。
https://www.jisa.or.jp/service/privacy/tabid/831/Default.aspx?itemid=31 [jisa.or.jp]
Re: (スコア:0)
大体メールのせい。
そもそもメール自体が安全性に優れた通信手段ではない。誰とも知らぬ相手から連絡が届く時点で実質セキュリティホール。
そこで暗号化を考える程度重要なファイルを送付するのがなお筋が悪い。
パスワードを別経路で送ればなんとかという無理要求を適用しようとして現実の対応が歪んでいるのが現状。
断じて使うなとまではいかないだろうが、セキュリティの向上を考えるならまずメール依存を潰すのが上策。
Re: (スコア:0)
うん
それはとても気になる
そいつを問い詰めたいし
Re: (スコア:0)
・OSの責務ではない
・論点ずれまくり
Re: (スコア:0)
全てのトロイはクライアントOSのせい!
確かに
つまり (スコア:0)
プライバシーマークの取得は非推奨ってこと?
Re:つまり (スコア:1)
A. プライバシーマークの付与業務はするが、審査はしない団体
B. プライバシーマークの審査をして、Aの団体に上申する団体
があって、Bの団体が「添付zipにはパスワードかけないと審査合格にしないよ」と言ってるけど、
Aの団体は「添付zipにパスワード書けるのは推奨してないよ」と言っているということ。
AとBに分かれているのが日本社会の闇。
Re: (スコア:0)
そうですよ。
バカバカしいので、うちは更新を打ち切りました。
wtf (スコア:0)
じゃぁどうすればいいのかって部分がすっぽり無いあたり、ううむという感想。
個人情報をメールで送るなよってことかも。
取引先で、請求書をいちいちパス付きzipで送る付けてくるところがあって、意味ないから
やめてくれと言った記憶も。ひどいところになるとPDF送りつけて、はんこ押してFAXで返送しろなんて所も。
キミはそれでもIT屋かよと言いたい。
Re: (スコア:0)
PPAPについては、パスワードを別の送信経路で送ったり、事前に取り決めたりで、簡単に改善できる。
が、今回はそもそもパスワード付きzipで送るな(ウィルス対策ソフトがチェックできなくなるから)という話なので、
パスワード制限なしのzipで送るか、盗聴対策であればPGPみたいな仕組みを使う、またはダウンロードにパスワード要求するクラウドに共有するとかじゃない?
Re: (スコア:0)
>ひどいところになるとPDF送りつけて、はんこ押してFAXで返送しろなんて所も。
>キミはそれでもIT屋かよと言いたい。
この辺は、はんこ付きの書類が社内的に必要でIT屋だけではなんともしがたい理由が
あるのでは、ないのかと・・・
Re: (スコア:0)
どうするもなにも、普通にPGPでいいじゃん。
Re: (スコア:0)
メール丸ごと暗号化して、メールサーバで復号すればいい
既にそのための面倒臭くて全く普及してない標準規格があるので
Re: (スコア:0)
どうせ元データの作成にはMSOffice使っているのだから、Microsoft365のOneDriveで送ればいいような。
これzipファイルだけなの? (スコア:0)
人によって少しずつ言っていることが違うんだけど、
Excelとかも含めて「後から別メールでパスワード」は廃止になるんだよね?
(そもそもxlsxがzipだろというツッコミはなしで。)
Re: (スコア:0)
暗号化ファイルはメールサーバで削除されるようにしますってことでしょ
ただファイルだけ消えるか本文中に「削除しました」と書かれるかメールごと握り潰されるかは実装次第
Re: (スコア:0)
freeeはそこまで言ってるけど、それ以外は単なる努力目標なのか分からないよね?
freeeの対応 (スコア:0)
emotet対策として、自社に送られてきたパスワード付きzipファイルをブロックするというfreee社の対応は、そうしなければfreee社内でのemotetの感染を防げないと判断したと言うことではあるまいか?
Re: (スコア:0)
そりゃそうでしょ
ウイルスは未修正の脆弱性を突いてくるのに、しかもパスワードzipによって守られてるんだから
Re: (スコア:0)
暗号化zipされてなければメールサーバのウイルススキャンで防げて、暗号化zipをエンドポイントで解凍したら防げないというのもおかしな話。
検出の仕組みは同じで同程度の防御力なのに。
暗号化zipのような悪習の廃止を上層部に認めさせるための方便としてはいいと思うが。
Re: (スコア:0)
暗号化以外にも何重にもzipしたりフォルダーの階層が深くても検出できない場合がある。
なのでメールサーバ云々言うなら暗号化zipだけでなく、アーカイブ自体を禁止しないと筋が通らない。
もっとも禁止してしまうと不便が上回りそうなので、#3927875が言うようなバカなお役所だけにしといて欲しいが。
Re: (スコア:0)
極論するとパソコンと外部のデータのやり取り禁止ですね。
騙されてsudo rm -fr no-preserve-rootとかやらかす人もいるからどうしよう?
何が悪いのか? (スコア:0)
同じルートでパスワード送るな → メールとDropBoxで、一方でパスワード、もう一方でzipを送ればいいのか?
ウィルスチェックをすり抜ける → PGPでもなんでも、暗号化したものを全然送れなくなるのでは?
Re: (スコア:0)
> 同じルートでパスワード送るな → メールとDropBoxで、一方でパスワード、もう一方でzipを送ればいいのか?
DropBox使ってるのにさらに暗号化してZIPとか、無駄な手間かけすぎだろ
> ウィルスチェックをすり抜ける → PGPでもなんでも、暗号化したものを全然送れなくなるのでは?
DropBox使えるならメールで送るとかしなくていいだろ
てか今時メールで添付ファイル送るのって本当にどうしようもない状況を除けば迷惑行為に近い
このコロナ騒ぎのご時世に、マスクしないで近距離で話しかけてくるやつみたいなもん
編集者 nagazou氏のミスリードが酷い (スコア:0)
編集者 nagazou氏のミスリードが酷過ぎます。
タレコミを捻じ曲げるし、虚偽の情報を付加しています。
このサイトをご覧になる方はご注意ください。
JIPDECはPPAP方式を「推奨してない」とは言いましたが、「パスワード付きのZipファイルなどに意味はないと強調している」ということはありません。
以下、AC氏のタレコミ時にコメントしている内容です。
プライバシーマーク推進センター、PPAP方式のメール添付は従来から推奨していない | スラド Submission
https://srad.jp/submission/90837/ [srad.jp]
防止策例のご紹介:ミスの防止(1) (#3926848) | プライバシーマーク推進センター、PPAP方式のメール添付は従来から推奨していない | スラド
https://srad.jp/comment/3926848 [srad.jp]
個人情報の取扱いに関する事故を起こさないために【メール誤送信を防ごう】(PDF)の23ページ目で
https://privacymark.jp/system/reference/pdf/tools_accidents_1_main.pdf... [privacymark.jp]
防止策例のご紹介:ミスの防止(1)
添付ファイルへの対応
で以下の様にPPAP方式を紹介しています。
万が一、誤送信が発生した場合に備えて
•送りたいファイルをパスワードをつけて暗号化する。
•パスワードは簡易なものにしない。
•パスワードを相手に伝えるためには別の通信経路で送る
送りたいファイルに上記の対策をした上で、ファイル転送サービスなどを利用する手段もあります。
Re:編集者 nagazou氏のミスリードが酷い (スコア:3, すばらしい洞察)
ちょっと待って。
JIPDECが「パスワード付きZIPに意味がない」と主張していないのはそのとおりだし、
nagazou氏が多分そのタレコミ [srad.jp]とこっちのタレコミ [srad.jp]をニコイチにして記事化したせいで捻れちゃってるのもそのとおりなんだけど、
「パスワードを別の経路で送る」はPPAPではない。というかPPAP否定だよね。