ZIP添付ファイルのパスワードと別便送付とスニッフィング


ZIP添付ファイルのパスワードと別便送付とスニッフィング

2020年11月17日に平井卓也デジタル改革担当相が、中央省庁の職員がパスワード付きファイルの利用を禁止する方針であると発表しています。これまで霞が関の職員はZIPファイルに加工をして文書ファイルを送信したあと、パスワードのみを別のメールで送っていました。この方法は一般企業でもよく行われているセキュリティ対策ですが、どこに問題があったのでしょうか。

日本情報経済社会推進協会の発表

平井卓也デジタル改革担当相がパスワード付きファイルの利用を禁止した翌2020年11月18日、日本情報経済社会推進協会は以下のように公式サイトにメールでファイルを送信する際のパスワード自体を非推奨と表明しました。

昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。

プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

引用 日本情報経済社会推進協会

これまで日本情報経済社会推進協会はセキュリティ対策として、パスワードの保護を推奨してきたので驚いた方も多いでしょう。

メールでファイルを添付する時パスワードを設定することは悪いのか

これらの発表で、メールでファイルと添付する時パスワードを設定すること自体悪いのかとお考えの方もいらっしゃるでしょう。しかしパスワードをすること自体悪いことではなく、問題は

  • メールの通信途中でスニッフィングされた場合の対策がない
  • 誤送信時に予期せぬ相手にファイル内容が漏れてしまう

という点です。

スニッフィングとは

スニッフィングとはどのような意味でどのような内容なのでしょうか。詳しく説明していきます。

英単語の意味

スニッフィングはsniffingと書き、匂いを嗅ぐとった意味になります。sniffing dogで匂いを嗅ぐ犬、麻薬犬、捜索犬といった意味になります。

IT用語としてのスニッフィング

スニッフィングとは、ネットワーク上のデータを盗聴することをいいます。ネットワーク上のデータは名前、住所、クレジットカード番号、通信データの内容等の個人情報や企業情報が多く含まれており多くの被害がでています。

スニッフィングの攻撃される主なデータと攻撃の手口

それではスニッフィングの攻撃される主なデータと攻撃の手口を説明します。

攻撃される主なデータ

スニッフィングで攻撃される際、標的になるのがIDやパスワード、会社機密情報、各種機器への接続方法などになります。これらの情報を盗むことにより、不正に企業などのシステムにアクセスをすることや、機密情報の流出事件が発生してしまいます。

攻撃の手口

スニッフィングの攻撃の手口としては、ネットワーク上のパケットを確認するためのソフトウエアを悪用することが多くなっています。パケットの盗聴自体は、LANアナライザ、パケットキャプチャツールなど専用の機械が多く出回っており難しいことではないのです。
後述の安全ではない公衆無線LANなどに仕込まれている事例なども観測されています。
これらの機械は本来パケットを監視することで、詐欺対策などに使われるものです。しかし残念ながらこれらの機械を悪用して詐欺をする人も多いのです。

これまで行われていたスニッフィング対策

これまで行われていたスニッフィング対策

専門家でないとスニッフィング対策はできないのでしょうか。実はITに自信がない方でも、日頃から工夫をすることでスニッフィング対策をすることができます。詐欺をする人間はちょっとしたスキを狙っているので、普段から対策をすることが大切なのです。

ファイルを暗号化

ZIPファイルを添付してパスワードと別便で送ることが問題ではなく、添付ファイルとパスワードを同一の方法で送信している事が問題です。
パスワードは別の手段を使って送付することが解決策につながります。

メール本文にも注目を

個人情報は添付ファイルにだけあるのではなく、メール本文にもあります。そのためメール本文も暗号化をすることが大切です。メール本文の暗号化は以下の2種類の方法があります。

  • 公開鍵暗号方式
  • 秘密鍵暗号方式

それぞれ秘密鍵を持っている人だけがメールを見ることができる方法ですが、この方法を自社でするには技術が必要になります。そこで利用されてきたのがメール暗号化ソフトです。メール暗号化ソフトは、従来はメール本文だけでなく添付ファイルまで暗号化してくれる便利なツールなのですが、問題が残ります。

日本情報経済社会推進協会が発表した理由

日本情報経済社会推進協会が添付ファイルを使うことを推奨しないと発表したのは、上記の対策をしていてもスニッフィングされているのが現状だからです。それには以下のような原因があります。

  • S/MIMEやPGPの鍵自体を事前に非暗号化なメールで送っていた場合、秘密鍵を添付したメール自体をスニッフィングされている可能性があり秘密鍵が漏れ以降の通信が盗聴される可能性がある。
  • 自動で暗号化しパスワードを送るシステムはそもそもプラス効果を生まない
    自動的に暗号化とパスワードを同一宛先に送信するため、経路上でスニッフィングされている場合にデータの盗聴をされてしまう。
    また、自動的に同一の宛先にパスワードも送信しているため、誤送信時もパスワードを同一の宛先に送信してしまう。

新しい対策

これらのことをふまえて今対策されているのは以下のような内容です。

メールを使わない

DropboxやBox、Google Workspace、Microsoft Office365などのクラウド領域にファイルを保存して、「保存したファイルのURLを他人に共有する」機能をつかってファイルを共有することができます。
このURLからファイルを開くときにパスワードを設定できるので、メールで「ダウンロードの際はこちらのURLにアクセスしてください、ダウンロードパスワードはxxxです」と送ることにより、ZIPのパスワードが必要なくなります。
仮にこのメールが解読されても、このメールの内容だけでは情報が漏れることはりません。

利用クラウドによっては、「xx回ダウンロードされたら自動削除」「xx日経過したら自動削除」などの設定することができるので、メールにパスワードをかけるよりもさらに高いセキュリティをかけることができます。

もし仮に誤送信をしてしまったり、スニッフィングされたとしてもクラウド領域のファイルを削除することによって、被害を最小限に食い止めることができます。

現在はslackやチャットワーク、Teamsなどのツールを使うことでドキュメントのやり取りが可能で、メールを使う事自体が減っている傾向にあります。

パスワードを同一経路で送らない

メールでファイルを送る必要がある場合は、パスワード付きZIPファイルだけをメールで送り、パスワードは電話やファックスなどで伝えるのも一つの方法です。
その為ZIPファイルがスニッフィングされても、パスワードは盗まれることがないのでファイル内容までが漏洩することはありません。

WEBでファイルを送らない

そもそもWEBでファイルを送る事を辞める方法もあります。昔はフロッピーディスクのような物理媒体にファイルを保存して手渡し、もしくは保険付きの郵送を利用していました。
これほどネット詐欺が増えた今、昔と同じ方法が見直されています。

無線LANでの通信での情報漏洩にも注意

無線LANでの通信での情報漏洩にも注意

スニッフィングは無線LAN経由を利用した時に起きることがあります。
これらに関して説明していきます。

無線LANのデータを守る

無線LANは通信内容を暗号化しているので、盗聴されたとしても解読することは容易ではありません。しかしWEPなど古い暗号方式を使っている場合は、簡単に盗聴され解読される恐れがあります。
WEPをセキュリティ面で改善したWPAシリーズを使うことをおすすめします。できれば最新の暗号化の手法であるWPA3を使うことをおすすめします。

安全ではない公衆無線LANを利用しない

鍵マークのついていない公衆無線LAN(無料WiFiスポット等)で個人情報を開くことは避けるようにしてください。鍵マークのない公衆無線LANは全く通信内容を暗号化していません。

また正規の公衆無線LANの他に、なりすましアクセスポイントがある場合があります。
実際に存在するアクセスポイントと似た名称で設定をされており、なりすましアクセスポイントに接続をするとタブレットなどの端末に侵入されデータを抜き取られる可能性や、通信内容のスニッフィングが起きる場合があります。

いずれにしても、公衆無線LANでネット回線をつないで個人情報を開くときは注意が必要です。

メールの誤送信を防ぐ方法

スニッフィングとは別にメールの誤送信も情報漏洩につながります。またメールの誤送信はクライアントの信用を失ってしまうことにつながるので、大切な業務として受け止めるべき問題です。
ここではメールの誤送信を防ぐ方法を紹介していきます。

オートコンプリート機能をオフに

宛名欄にメールアドレスを入れると、これまで入力した中から候補がでてきます。便利ではあるのですが、誤送信につながるケースがあるのでアドレス帳を開いてから送信することをおすすめします。

漢字でアドレス帳に登録

アドレス帳の登録を、ローマ字でしていることが多いのではないでしょうか。しかしローマ字は一瞬見た目だけでは判断がつかないことがあります。しかし漢字であれば見間違いを防ぐことができます。
一点注意しないといけないのですが、アドレス帳に登録した名前は相手に見えても失礼がないように記載してください。

一度下書き保存をする

手間がかかりますが、一度下書き保存をしてよく確認してから送信をするようにすると誤送信が減ります。慣れてくると、ほとんど時間をかけずにこの作業を行うことができます。

まとめ

平井卓也デジタル改革担当相や日本情報経済社会推進協会の発表で、ZIP添付ファイルを送信した後もう一度パスワードを送信することが問題になっているように聞こえます。これまではパスワードを別に送ることで、簡単にできるセキュリティ対策になっていましたし、日本情報経済社会推進協会が推奨していたことからも実際にこの方法をとっている会社も多かったです。

しかしこれらの対策をしていてもスニッフィングされる事があるのが実情です。
そこで現在行われている対策は以下のようなものがあります。

  • そもそもファイル送信にメールは使わない
  • パスワードを同一要素(ここではメール)で送らない
  • インターネット上でのファイル送信をやめる

これまでのスニッフィング対策でも対応できていないのが現状であることから、これらの対策を実施してセキュリティを高めていきましょう。