21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11)
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第11列車は「パスワード別送」です。
「こうしす!」とは
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!@IT支線」とは
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
今回の登場人物
ツバメ 1a343a4f7a【以下略】(Cubame)
24世紀の人工生命体。地球共和国技術復興省考古調査局歴史研究室電子データ調査課 研究員。過去の世界から物体を複製する時空複製器を用いて、滅亡した人類の歴史を調査する日々を送る。とても元気な猪突猛進タイプで、好奇心が暴走した結果、祝園アカネを複製してしまう
ツバメちゃんの初登場回:第7列車 某国某州「緊急事態管理庁」のパスワードを解析せよ!
第11列車:パスワード別送
井二かけるの追い解説
今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。
ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。
現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。
では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。
1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない
電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメールサーバまでです。その先のサーバ間の通信や受信者までの通信が暗号化されるかどうかまでは保証されません。
そして、仮に全ての通信経路が暗号化されていたとしても、サーバに到達した時点でいったんは暗号化が解除されますから、サーバの管理者やサーバをクラックした攻撃者は、そのサーバを経由するメールの内容を盗み見ることができます。
もちろん、実際に盗聴されるリスクがどの程度あるかという点は別途検討しなければなりませんが、少なくとも「後続メールでのパスワード別送」を行っても行わなくても同程度のセキュリティでしかないと考えるべきでしょう。
従って、電子メールを送付するときは、その通信経路上で盗み見されているかもしれないと考えなければなりません。そして、もし盗み見されていれば、連続する2通のメールの両方を盗み見るのはたやすいことです。
「後続メールでのパスワード別送」でセキュリティが向上するケースは、極めて限定的です。強いていえば、たまたま攻撃者が1通目だけ盗み見に成功し、2通目の盗み見に失敗するケースや、冗長構成などにより、1通目と2通目で経由するサーバやネットワークが変化するというケースですが、それをあてにしたセキュリティ対策は確実性に乏しいと言わざるを得ません。
2.自動で即時に「後続メールでのパスワード別送」を行えば、誤送対策にもならない
「後続メールでのパスワード別送」方式の唯一の利点は「誤送対策」です。例えばメール送信者とは別の承認者がパスワードを送付するという運用であれば、「承認者が誤送に気付いたらパスワードを送付しない」という判断も可能です。
しかし、完全に「自動」で「即時」に「後続メールでのパスワード別送」が行われたら、そのようなチェックも働かないため、唯一の利点も失われます。
その他の問題
本題とは直接関係ありませんが、以下の点も留意すべきでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Mac(macOS)でパスワード付きZIPファイルを作成する
ZIPファイルにパスワードを付けて暗号化しておくと、その内容を保護し、安全に保管したり、電子メールで送信したりできる。macOS(OS X)の場合、OS X Leopard以降、標準でZIPファイルにパスワードを付ける機能が実装されている。その方法を紹介する - メールでファイルを送るなら、直接添付? それともオンラインストレージ?
ファイルを直接メールに添付して送るのはもう古い? これからはオンラインストレージを使って送るべき? 新旧2種類のファイル添付方式のメリット/デメリットを比較して、使い分けのためのポイントを説明する - 添付ファイルによるウイルス攻撃、「開かない」以外の有効な対策を考える
セキュリティ専門家が時事ネタを語る本連載。第42回は、不正送金マルウェア「URSNIF(アースニフ)」の話を皮切りに、メールを使った攻撃への効果的な対策を考えます - 自治体セキュリティにおける「無害化」のポイント
本連載では、2015年に総務省の「自治体情報セキュリティ対策検討チーム」が公開した報告資料をベースに、市区町村のセキュリティ対策を解説します。第4回のテーマは「無害化」です