パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 159
ストーリー by nagazou
シリア、ロメオ、アルファ、デルタです。 部門より
シリア、ロメオ、アルファ、デルタです。 部門より
パスワード付きZIPとパスワードを別メールで送信するPPAP廃止の動きが広まってきている。代替策として提案されるようになってきたのが、民間のストレージサービスでファイルを共有、圧縮ファイルを解凍するパスワードをメールで送信する、パスワードを電話などで口頭で伝えるという方法だ(過去記事、ITmedia)。
パスワードを電話で伝える方法は、相手がリアルタイムで電話に出なければならない、口頭で伝えられたパスワードをメモる必要がある等々面倒すぎることから、現実的ではないと思われていた。しかしTogetterのまとめによれば、実際にこの方法を採用している例も出ている模様。パスワードのアルファベットを間違いなく口頭で伝えるために
取引先「フォックスロット、タンゴ、アルファ、ナイン、ナイン。復唱お願いします」
といったフォネティックコードを使う必要があるのではという意見も出ている。
フォックスロット? (スコア:2)
家電量販店でバイトしていた学生時代、配送受付や修理などのお客様を迎えるカウンターが「A1・A2・A3、B1・B2……E3」とあったんだ。
業務用のトランシーバーで「D2にご案内お願いします」などと言われた時、B?D?E?って聞き直すことが多過ぎて、「デルタツーですか?」って言いそうになったのを我慢した回数たるや
#のちに「1-1・1-2・1-3、2-1、2-1…」というナンバリングに改められた
Re: (スコア:0)
「ポーチカル」と並ぶあるあるネタですね>フォックスロット
> #のちに「1-1・1-2・1-3、2-1、2-1…」というナンバリングに改められた
「41-31」「41-32」とかでなくてよござんした
今、丁度、音響カプラーが再ブレイクしてるところでして (スコア:2)
https://twitter.com/tweeting_drtaka/status/1335101565519073280 [twitter.com]
uxi
正攻法は (スコア:2)
使えない組織もありそうだけど
Thunderbird 78.2.1
https://www.thunderbird.net/en-US/thunderbird/78.2.1/releasenotes/ [thunderbird.net]
で OpenPGP がデフォルトで有効化されたから、これが一番お手軽と思う。
若干変化球にはなるが
GitHub 使ってるような組織なら、
ghcrypt
http://koseki.hatenablog.com/entry/2013/02/17/ghcrypt [hatenablog.com]
みたいな方法もありかなと思う。
uxi
いや、別にそれはおかしかない (スコア:1)
同一経路で伝えるから意味がないってだけで別な経路を使うなら問題ないよ
最適なのは公開鍵暗号使えだけども
Re:いや、別にそれはおかしかない (スコア:2)
>最適なのは公開鍵暗号使えだけども
全く、これにつきますよね。
本人認証も含めて行えるから、組織が部署毎にPKIの公開鍵を準備すればなりすまし対策とにもなると思います。
個人ではマイナンバーの電子認証が使えればメリットも見えてくると思うのだけど、このあたりの説明が全くない・・・。
Re:いや、別にそれはおかしかない (スコア:1)
メールでやりとりしてたから、お互いに相手の時間を束縛しないで済んでたのに、
いちいち電話かけるとか余計な手間が増えて大問題だよ
これは「セキュリティの話だから手間は関係ない」っていうなら、
「じゃあ自分でUSBメモリか何かを相手に届ければ問題ないだろう」ってことになるんだからね
Re: (スコア:0)
パスワードの通知はSMSやFAXや郵送でもいいのですよ。
Re:いや、別にそれはおかしかない (スコア:1)
zipファイルとパスワードを同じ場所に誤送信しないための電話では
Re:いや、別にそれはおかしかない (スコア:1)
暗号化ZIPはメール(別経路)で送られてるわけで、
パスワードだけ誤送信しても問題ない。
Re: (スコア:0)
どうせ元データはMSOfficeで作っているのだから、OneDriveありのOfficeプランに移行すればいいじゃない。
FirewallがPOP/SMTPしか通さないなら、以下のアドレスを開けておく必要があるけれど。
https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-... [microsoft.com]
# そもそも、1MB越えのファイルをメールで送ってくるな・・・
Re:いや、別にそれはおかしかない (スコア:1)
FirewallがPOP/SMTPしか通さないなら
どんなファイアウォールだよ。
いまどき、個人宅のファイアウォールですら、そんな設定は稀なのでは?
以下のアドレスを開けておく必要があるけれど。
OneDriveを使いたいだけなら、httpsが空いてれば十分じゃね?
# そもそも、1MB越えのファイルをメールで送ってくるな・・・
1MBって…いくら何でも、いまどき器が小さ過ぎない?
Re:いや、別にそれはおかしかない (スコア:1)
勝手に「宅ふぁいる便」とか使えるなんて、ずいぶん緩い会社なんだなあと。
宅ふぁいる便はサービス終了 [andronavi.com]してるんで、弊社内からは使えないけど、キミのとこからは使えるのか?
つーか、弊社内から宅ふぁいる便が使える、って言う妄想はどこから湧いてきたんだい?
社内からHTTPSが空いてると言っても、エンドポイント側で対策したり、ゲートウェイで中間者攻撃的にHTTPSを終端したりと、いろいろ対策はある。
実際、弊社でもそのような対策が取られている。
当然罰則もある。
従って、会社が許可していない外部サービスを勝手に使うことはできないよ。
キミのとこも同じだろ?
それよりも、社内から宅ふぁいる便を使える会社よりも、社内からPOP/SMTPで外にアクセスできる [srad.jp]会社の方が珍しいと思うんだが、キミはどう思う?
Re:いや、別にそれはおかしかない (スコア:1)
ブラウザから使うならHTTPSだけでよかろう。
企業ユースで、GmailをPOP/SMTP/IMAPで使うとかあり得る?
あるかもしれんけど、かなりのレアケースじゃない?
そもそも、私が問題にしているのは、「FirewallがPOP/SMTPしか通さない [srad.jp]」という特殊環境。
もし必要であればPOPでもSMTPでも通せばいい。
しかし、それしか通さない、ってどんな環境なのか、ということを問題にしている。
Re:いや、別にそれはおかしかない (スコア:1)
社内でメールサーバ立てないなら、「社内からPOP/SMTPで外にアクセスできる」必要があるんじゃない?
キミは、私が「もし必要であればPOPでもSMTPでも通せばいい [srad.jp]」と書いたのは読んでくれたかい?
OCNBizとかNTTPCを使いたいなら使えば良いし、POPでもSMTPでも通せばいい。
そんなことは、キミ以外誰も問題にしてないよ。
同じコメントに「企業ユースで、GmailをPOP/SMTP/IMAPで使うとかあり得る? [srad.jp]」と書いたのは読んでくれてるかな?
私はそう言う事を問題にしているんだ。
それともメールサーバーをアウトソースするのは、キミ的には珍しいレアケースなのかな?
そんなアホなことを言っているのはキミだけだよ。
私の手には余る。専門の機関を受診をお勧めする。
そももそも、Gmailだって「メールサーバーをアウトソース」しているわけだが、理解できてる?
理解できないんだったら、初心者向けの参考書を10回音読してから出直してくれる?
私の手には余るよ。
Re:いや、別にそれはおかしかない (スコア:1)
「どんなファイアウォールだよ。」というのに、私が「たくさん存在してますけれど」と書いたのは読んでくれたかい?
私が問題にしているコメントを引用すると、「FirewallがPOP/SMTPしか通さないなら [srad.jp]」なんだが、理解してくれてるかね?
OneDrive [srad.jp]、G Suite/Gmail [srad.jp]、OCNBiz、NTTPC [srad.jp]、いずれを使う場合も、POP/SMTPしか通さない、というのはレアケース。
普通はHTTP/HTTPSも開けてるだろう。
企業ユースでgSuiteの導入は、ソフトバンクも支援している。
キミ、宅ふぁいる便とかG Suiteとか、知識が古すぎるよ。
キミが繰り返し書いている「gSuite」は誤り。
正しくはG Suiteだし、G Suiteは、今やGoogle Workspaceと言うんだよ。憶えておきたまえ。
# 他社様の製品名を間違うのは、失礼だから気を付けたまえ。
いずれにせよ、ブラウザでアクセスすれば十分。
一般的な企業ユースなら、HTTPSを使うだろう。
POP/SMTPでアクセスするのはレアケース。
特に、今どきPOPとかありえない。せめてIMAPS。
知識が古すぎて恥ずかしいレベル。
Re:いや、別にそれはおかしかない (スコア:1)
ファイアウォールでは開けていないですね。がっつりドメイン制限を入れたProxyを立てている。
キミ、それ本気で言ってる?(失笑)
そのプロキシサーバーからの通信はファイアウォールを通ってるんだろ?
それも含めて、HTTP/HTTPSを開けてる、と言ってる。
一般ユーザから見れば、ブラウザで外部にアクセスできる、という点では変わらないからね。
呼ばれていないのに勝手に横から入ってきて
呼ばれなきゃコメントを書けないなんてルールはスラドには無いよ。
途中で勝利宣言して逃げる。
こういうのを「ひき逃げ」と言うのだけど、これは荒らしがやる行動なんだよ。
そりゃキミのことだろ。
Re:いや、別にそれはおかしかない (スコア:1)
うちのところ、gsuite + ThunderbirdでふつーにIMAPだけど。
その「ふつー」は、どの範囲で普通なの?
私は仕事柄、他社さんのシステムを見ることはあるけど、Thunderbirdを含めて、SMTP/POP/IMAPなMUAを使ってる使ってるとこは、ほとんど見たことないね。
まあ、ある程度以上の規模の会社しか見ないからかもしれんけど。
こちらの調査 [businessmail.or.jp]を見ると、ほとんどがウェブメールかスマートフォンのメール。
PCのデスクトップアプリケーションでは、Outlookへの言及はあるけど、Thunderbirdは出てこないね。
まあ、OutlookでSMTP/POP/IMAPアクセスしてる可能性は無くは無いけど、それにしたって、Outlookの利用率が35%程度なんだから、それよりずっと少ないじゃない?
Re:いや、別にそれはおかしかない (スコア:1)
ゲートウェイ型のウィルスチェックなら、ブルートフォースでパスワードを突破して、ウィルス判定するとか、コストが高すぎてやってらんないよね。
となると、暗号化ZIPはすべて捨てるか、エンドポイントで検査を強制するかのどちらかになる。
でも、ゲートウェイでもエンドポイントでも検査する、というポリシーだと、全部捨てるしかなくなるね。
Re:いや、別にそれはおかしかない (スコア:1)
E2E暗号化を使ってない限り、MS従業員が中身を覗けるわけじゃん
E2Eってのは、end to endのことだと思うんだけど、その場合のendって、何を指してるわけ?
普通は通信経路の最初の送信者と最後の受信者を言うと思うけど、この場合だと、その後、ディスクに保存された時点で平文になるわけだから、権限のあるMS従業員がそれを読むことは可能かも知れない。
データ自体を暗号化していれば、MS従業員といえども簡単には読めないけど、それをE2Eって言うかな?
これは男の子に刺さるよね (スコア:1)
>取引先「フォックスロット、タンゴ、アルファ、ナイン、ナイン。復唱お願いします」
こういうのはエリア88とかみたいで、なかなか良いのでは。
//X ray,Delta,oneってやるとパスワードがどこかに飛んでいきそうだ。
Re:これは男の子に刺さるよね (スコア:1)
「アルファ、ブラボー、チャーリー」と言って通じなくて、
「フォネティックコード」という単語をぐぐって調べた思い出。
「みなさんが初めてフォネティックコードを知ったのは、いつ、どんな時でしたか?」
というのは聞いてみたい。
かくいう自分も、いつだったのか全く思い出せないんだけどな。
たぶん最初は「変なこと口走るオッサンだな」で、何のためにそうしてるか気付かなかったはず。
Re:これは男の子に刺さるよね (スコア:1)
4アマコールサインを伝える際にフォネティックコードを使った記憶があるから多分高校の時だな。
Re:これは男の子に刺さるよね (スコア:1)
ウォーゲームだったの台詞だったんですね。
書き込んだときミリタリーでエリア88しか連想しなかった。
年だろうか。
Re:これは男の子に刺さるよね (スコア:1)
日本で普通の一般人相手にフォネティックコードを使うと、
Q(ケベック)が通じないのと、L(リマ)がRとまぎらわしい。
他は、まーだいたい通じるんですけどねぇ。
もうこの際 (スコア:1)
何が問題なのかわからない (スコア:1)
何が問題かわからない。取引先ごとに共通のパスワードにして一度伝えればよいのだから、手間もたいしたことはないだろう。
ださいといえばださいが、セキュアなメールインフラの普及に失敗したIT業界の失敗でもあるわけで、一般人を一方的に笑いものにできる立場か?
代わりに普及したのがプロプライエタリばりばりなメッセンジャーやオンラインドライブっていうのも残念感がある。
オープンなインターネットの精神はどこに行ったんだ?
Re:何が問題なのかわからない (スコア:1)
口頭でモタモタ一文字ずつ読み上げるとか、並のセキュリティ意識があれば相当に抵抗のある作法だろう。
この場合であれば、それで十分だと思うよ。どうせ一度しか使わないパスワードなんだから。
問題があるとすれば、音声で長いパスワードを伝えるのは手間だから、短いものになりがちなことじゃないかな。
短いパスワードだと、経路を除いて手に入れた暗号化ZIPに対して、ブルートフォース攻撃が短時間で成功してしまう。
いっそ、電話だけでファイルを送れば (スコア:1)
トゥルルル……
「もしもし、こちら営業部です。発注書送付いたしますのでサッポロシティスタンダードの受信準備お願いします」
「はい、準備完了しました。送付お願いします、どうぞ」
「ビーガーー」
#人、それをファックスという
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
部門名 (スコア:1)
> シリア、ロメオ、アルファ、デルタです。
「シエラ」でしょーに。
# 誤字政策に釣られたのか?
通話表 [wikipedia.org] に欧文各文字の語源が示されていて便利ですな。
ピストン運動のP (スコア:0)
と女性に言われたことがあるな。
Re:ピストン運動のP (スコア:1)
イングランドのIと言われたことがある。
Re:ピストン運動のP (スコア:2)
90年代の「覚悟のススメ」と云う漫画にZカップと云う設定の女の子が出て来た事が有る……そもそも顔以外は人間に見えない悪役の改造人間だけど。
送らないという選択肢 (スコア:0)
個人情報を含むリストのようなモノはそもそも送受信せず、ローカルに保存。
その他、請求書類などは特に機密でも何でも無いので平文で添付。
その他はなんでしょう、そこまでして暗号化したいモノ。
寒い国の諜報員さんかな?みたいな。
取引先で、請求書をどうしても暗号化ZIPで送りたいところがあって困っているところ。
さらに「この書類を添付するからはんこ押してFAXで戻せ」という謎運用まで。
Re: (スコア:0)
そこまでして守りたい情報なら、ZIP形式の使用可否から見直さないとね。みんな何と戦っているんだ
ないなぁ (スコア:0)
フォックスロット、タンゴ、アルファ、ナイナー、ナイナー。
謎マナー (スコア:0)
返事をする際は、らじゃあ、はややカジュアルなので、取引先とのやりとりの場合は、こぉぴぃざっ、をお勧めします。
なんて、生まれそう。
Re:謎マナー (スコア:1)
らじゃったのだ、で。
らじゃったのだ
バカじゃねーの (スコア:0)
口伝てじゃ効率悪いだろ、FAX使えよ。
Re:バカじゃねーの (スコア:2)
真面目な話 QR コードを FAX で送ればいいんじゃないかと思うんだよね。
今なら送信側も受信側も紙無しでできるでしょ。
フォネティックコードの統一が必要 (スコア:0)
フォネティックコードには複数の規格というかスタイルがあるので、その統一も必要
アマチュア無線では伝統的な米国流(?)を使う人もいればNATOフォネティックコードを使う人もいるので、聞く方は両方慣れておかないと使いこなせない
Re:フォネティックコードの統一が必要 (スコア:2)
BF4の後、BF1をやった時にフォネティックコードが違ってて最初??ってなりました。
Re:フォネティックコードの統一が必要 (スコア:2)
ASUSのサポートセンターは「京都のK、ロンドンのL、ジャパンのN…」みたいに言ってたな。各社のコード表を見てみたい。
Re:フォネティックコードの統一が必要 (スコア:1)
パスワードはBASE32にすればいい。
Re:フォネティックコードの統一が必要 (スコア:1)
ちゃんとXYLと言ってやれよ。
つーか、ハム用語って今だと性差別って言われても仕方ないよな。
YM、OM、YL、XYLとかさ。
まあ、時代ってやつなんだろうけど。
フォネティックコード (スコア:0)
やはり、どの単語を使うかで相手の心象が悪くなったりするんだろうか
「解凍パスは、アンクル、ジョージ、ラブ、クイーン、ウナワン、パンタファイブ…」
「繰り返します、ウルグアイ、グアテマラ、ルクセンブルク、ケベック、ウン、ファイフ…ですね?」
Re:和文通話表 (スコア:2)
知らなかったら「尾張のを」を「お」と間違えるやつ続出だろうなぁ。
ポケベル打ちで (スコア:1)
プッシュホンのボタンを押して、ポケベル打ちで。
アルファベットの大文字小文字の区別が付かないのでどちらかに固定ですが、
数字記号を混ぜて。
……聞いた方は解読できるのだろうか?
-- う~ん、バッドノウハウ?
Re:音声通話とは言っていない (スコア:1)
そんな用途のためではないけど、弊社ではほぼ全従業員に社用のスマートフォンを持たせてるよ。
社用でスマートフォンを使う必要があるなら、そうするのがスジってもんだろう。
# 持たされてるとも言う。
Re:記号を使ってた場合は (スコア:1)
パスワードを描いた紙を見せた方が早いような...