No123 メール添付書類のセキュリティ対策 その3

このNoteは私が主宰しているメルマガ「がんばりすぎないセキュリティ」のバックナンバーです。
このNoteは2019年9月2日に配信した内容です。

メールに書類を添付する時に暗号化ZIPファイルを使うことの是非
について、前々回から解説をしています。

前回までは、暗号化ZIPファイルそのものの説明と、3つの課題に
ついてお話しました。
今回はその続きとなります。

まずは、前回までのおさらいをしておきましょう。

目次

1. 暗号化ZIPファイルとは?
2. 暗号化ZIP方式の問題点
3. 暗号化は情報の機密性を高められる
4. 暗号化では情報の完全性は確保できない
5. 結局、暗号化ZIPファイルは使わないべきなのか?


1. 暗号化ZIPファイルとは?

メールに添付する書類を暗号化する場合、暗号化ZIPという形式を
用いるのが一般的です。

ZIP形式というのは、もともとファイルサイズを小さくする(圧縮
する)方式として設計されたソフトで、ジャンルとしてはデータ
圧縮ソフト(アーカイバソフト)というものになります。

データ圧縮ソフトとしては優秀だったため、北米を中心に標準的
なファイル形式の地位を得ています。
ただ、ベースはデータ圧縮ソフトであり、暗号化機能はオマケです。
特別に優れた方式とは言えません。


2. 暗号化ZIP方式の問題点

暗号化ZIPファイルには、大きく3つの問題点があります。

1.パスワード(暗号鍵)を安全に渡すのが難しい
2.ファイル名は暗号化されない
3.パスワードなしでファイルを入れ替えできる

最初のパスワードを渡すのが難しいのは皆さんもうすうす感じて
おられることでしょう。
メールを盗聴できるようなワルモノであれば、メールが1通で
あろうと2通であろうとどちらも盗聴できるはずです。
これを防ぐには、パスワードをメール以外の方法で通知すれば
よいのです。電話(口頭)、ショートメッセージ、FAX、郵送
などであれば、盗聴される心配はありません。

2つ目のファイル名が暗号化されない点については、暗号化
ZIPファイルといえど、すべてが暗号化されているわけではない
という点にご注意ください。
どうしてもファイル名を秘密にしたい場合は少々面倒ですが、
暗号化ZIPファイルを二重化することが対策となります。
つまり、
1)秘密.docx を変換し暗号化ZIPファイル(例えばA.ZIP)を作る
2)そのA.ZIP を変換し別の暗号化ZIPファイル(B.ZIP)を作る
の2段階を踏めば、A.ZIPに入っているファイル名は秘密にでき
ます。

最後の三点目は、ZIPファイルにウソの情報を加えることで正しく
暗号化されていると思わせて、実は中身が違うファイルが作れて
しまうという問題です。

これを悪用すると、AさんからBさんに取引口座の変更情報を
送った時、それを盗聴したCさんがウソの取引口座情報をBさん
に送れてしまいます。
Cさんはパスワードを知る必要もなく、捏造ができてしまうわけ
です。

このファイルの作り方は前回解説しましたが、その対策をどう
するのか?はまだ説明していませんでした。

これが今回のメインテーマとなります。


3. 暗号化は情報の機密性を高められる

ここで少し視点を変えてみます。
三つ目の課題は先に述べた2点とは「質」が違う点にお気づきで
しょうか?

最初の2つは、秘密にしておきたい情報がバレるのが問題でした。
これは情報セキュリティ用語でいう「情報の機密性」の問題です。

一方、この課題は、情報の変更に気づかないという問題です。
これも同様に情報セキュリティ用語でいうと、「情報の完全性」
の問題です。

この両者は一見似ていて違いがわかりにくいのですが、かなり
異なるものです。

機密性対策としては一般的に暗号化は非常に有効な対策です。
なぜなら、暗号化したファイルは内容を知ることが難しく、秘密を
守りやすく、情報の機密性確保には最適な方法だからです。

ですが、完全性対策としてはどうでしょうか?
完全性というのはデータに変更が加えられていないことを保証
することです。
暗号化されたファイルを作るだけなら誰でもできますから、暗号
化してあることを拠り所として「ホンモノだ」と判断するのは危険
だというのはおわかりいただけると思います。


4. 暗号化では情報の完全性は確保できない

ハッキリ言いましょう。
暗号化は情報の完全性対策としてはムダです。
むしろ、間違った安心感を与えるという意味で有害なくらいです。

情報の完全性とは「伝えられた情報が間違いないこと、変更して
いないこと」を保証することです。
言い換えれば「Aさんが発信した情報かどうかを確認すること」
です。

電子メールは詐称が非常に容易です。
文面でAさんを名乗るのは簡単ですし、メールアドレスを詐称
することも非常に容易です。

そのため、メールの本当の発信者が誰かを保証するための仕組み
は1990年代に既に存在しています。
(例えばS/MIMEとかPGPとか。詳細はまた別の機会に...)

ところが
・メリットがわかりにくい、
・使っている人が少ない、
・使い方が難しい
といった点がネックとなり未だに普及していません。

なので、少々情けない話ですが、現状で確実なのは人手に頼る
ことです。つまり、先方に電話で「新しい口座は○○でよろしい
ですね?」と確認をとるのが「情報の完全性」を確保する一番
ローコストな実現方法です。

この情報の完全性という概念は、あまり一般的ではないのですが、
昨今のビジネスメール詐欺などの流行を考えると、今後は非常に
重要になってくるでしょう。


5. 結局、暗号化ZIPファイルは使わないべきなのか?

前々回に述べたとおり、1通目に暗号化ZIPファイル、2通目にパス
ワードという方式は全くナンセンスです。
むしろ、期待されるような機密性は確保できず誤った期待を持って
しまうだけ有害です。
筆者自身が進んでそのようなメールの発信をすることはありません。

ですが、メールはコミュニケーション手段です。
先方がそれを求めているのであれば、それに応えるのもアリとは
思います。

その際でも多少なりとも安全性を確保するために「それではパス
ワードはショートメッセージで送ることにしませんか?」などと
提案をされてはいかがでしょう?

それがダメということであれば、パスワードの生成ルールをあら
かじめ決めておくのも立派な対策になります。

初顔合わせでのレジュメ(議題)に「メールで添付ファイルを
送る時のパスワード」を加えておき、皆で討議し、「じゃあ'egao'
+年月日でいきましょう」などと決めるわけです。
この例のパスワードは質が高いといえません。それでも2通目に
パスワードを書くより、はるかにマシです。

読者の皆さんで「いや、こういう工夫をしているぞ」といった
方式がありましたら、ぜひ教えてください。

次回もお楽しみに。

いいなと思ったら応援しよう!