【転載】「パスワード付き添付ファイル」が無意味どころか社会の害になる理由



「パスワード付き添付ファイル」が無意味どころか社会の害になる理由 | 及川卓也のプロダクト視点 | ダイヤモンド・オンライン:

 日本では広く採用されている「メール添付ファイルのZIP暗号化」はセキュリティ的にはほとんど意味がないことをご存じだろうか。そればかりか「受け手の体験を損ない、社会の効率を下げる行為だ」と指摘するのは、マイクロソフトやグーグルでエンジニアとして活躍し、現在は複数の企業で技術顧問を務める及川卓也氏だ。及川氏が、相手のユーザー体験、社会全体の効率化を考える必要性を説く。

添付ファイルのZIP暗号化だけでは
セキュリティ的には意味がない

 企業にとって、重要なファイルを外部と共有する際に、その内容を第三者の誰かに盗み見られないようにすることは、取引上の機密やコンプライアンスを守るためにも、個人情報保護などの観点からも不可欠です。そのための漏えい防止策のひとつとして、メールで送付したいファイルを「パスワード付きの暗号化ZIPファイル」に加工してから添付して送信するという方法が、日本ではよく採用されています。

 読者の皆さんの所属する組織でも、メールでのファイル送信時にそうしたルールが設けられているかもしれません。また自身の職場でルール化されていなくとも、相手方から暗号化ZIPファイルが送られてきた経験は、どなたにもあるのではないでしょうか。しかし、その暗号化ZIPファイルのセキュリティは、ほとんどのケースで守られているとは言いがたいのです。なぜなら多くの場合、その添付ファイルを送信したメールと同じ経路、つまりメールでZIPファイルのパスワードが送られているからです。

 この方式はセキュリティに明るい人たちの間で、皮肉を込めて「PPAP」と呼ばれています。日本情報経済社会推進協会(JIPDEC)の大泰司章氏が名付け親で、「Password(パスワード)付きZIP暗号化ファイルを送ります」「Passwordを送ります」「Aん号化(暗号化)」「Protocol(プロトコル)」を略したものです。

 なぜPPAP方式ではセキュリティが保持されないのか、もう少し詳しく見てみましょう。ファイルをZIP暗号化する目的は大きく2通りあります。1つは“Man in the Middle”、すなわち送信者と受信者との間で悪意を持った第三者がデータを盗む、中間者攻撃を防ぐこと。添付ファイルが送信経路のどこかで不正に取得されたとしても、パスワードでファイルを暗号化することで、中身を確認できなくするという考え方です。

 もう1つは、送信者が送り先を間違えた場合。パスワードを暗号化ファイルと別々に送信するので、両方の送り先が違ってさえいれば、つまり2度送り先を間違えなければ、誤送信された第三者がファイルの中身を見ることはできません。

 PPAP方式では、この両方のパターンでセキュリティ保護の効果はありません。悪意の第三者がファイルが添付されたメールを盗み見ることができた場合、パスワードが書かれたメールも見ることができるはずです。こうしたケースでは、メールアカウントとそのパスワード自体が既に不正に取得されていることも多く、暗号化ファイルのパスワードは電話やチャットツールなど別の経路を使って伝えない限り、意味はありません。

 また2つ目のパターンについては、パスワードを手動で、正しい宛先に送っていれば、確かに情報漏えいの危険性は下がります。しかし実際のところ、かなり多くの企業が添付ファイルのZIP暗号化とパスワードの発行・送信を自動化するシステムを取り入れています。これは送り手側の手間を楽にするためですが、このシステムを使っている限り、添付ファイルを送った先のアドレスが間違っていても、必ず同じアドレスへパスワードを送ってしまうことになります。これでは、もとの「ファイルの内容を漏えいさせない」という目的は決して果たすことができません。

PPAP方式の暗号強度は低く
むしろセキュリティ的には悪影響

 そもそも、一般的に使われているパスワード付きZIPファイルの暗号強度は、それほど強くありません。現在普及しているパソコンのCPU、GPUの性能でも、パスワードの総当たり攻撃をかければ、英大文字・小文字と数字を組み合わせた8桁のパスワードが半日程度で解析できてしまうようなものなのです。

 しかも、せっかくメールサーバー側で添付ファイルのウイルス検知が行えるシステムが導入されていたり、マルウェアフィルターが設置されていたりしても、添付ファイルにパスワードがかかっていると、これらをすり抜けてメールが届いてしまうため、逆効果になることさえあります。

 普段からPPAP方式でファイルのやり取りをしている組織の場合、標的型攻撃にも弱くなります。標的型攻撃とは、機密情報を盗み取ることなどを目的に、特定の組織・個人を狙うもの。業務に関係のあるメールを装ってウイルスが含まれる暗号型ZIPファイルが攻撃者から送られてきても、常にPPAP方式でファイルのやり取りをしていれば、受け取る側は疑問を持たずに開いてしまうことでしょう。

 ちなみに海外では、機密性の高いファイルのやり取りにPPAP方式は基本的に使われていません。日本の企業とファイルのやり取りをすることになって、暗号化ZIPファイルを受け取ったり、PPAP方式での送信を指定されたりした相手側は、戸惑うケースがほとんどです。

 この何の意味もないPPAP方式に代えて、外部とのファイルのやり取りを比較的安全に行う方法がないわけではありません。グーグルドライブやマイクロソフトのOneDrive(ワンドライブ)をはじめとする、インターネット上のフォルダー(オンラインストレージ)を利用する方法です。このやり方なら、ファイルやフォルダーにアクセス制限をかけてダウンロードができるユーザーのみに権限を付けることで、安全にファイルのやり取りが可能です。万が一、間違ったユーザーに権限を与えてしまうようなことがあっても、ストレージから速やかにファイルを削除することで被害の広がりを防ぐことができます。

受け手の痛みを考えない一方的な暗号化が
社会全体の効率を下げる

 では、なぜ日本からPPAP方式のファイルのやり取りはなくならないのでしょうか。ひとつは社会にあまりにもこの方法が定着してしまったので、企業が別の方法への切り替えができなくなっている、という理由があります。そしてもうひとつ、最大の理由は「送り手に痛みがないこと」だと私は考えています。

 1998年から使用許諾が開始されたプライバシーマークの取得などで要件を満たすために、多くの企業が添付ファイルのZIP暗号化を採用し、確実にファイルの暗号化が行われるように、パスワードの発行・送信とセットで自動化を進めてきました。その結果、今ではファイルを送信する側は手間をかける必要なく、ZIP暗号化ファイルを送ることができるようになっています。このため、自分たちが面倒に感じたり、困ったりすることがなくなり、ファイルを開封する受信者の手間、相手の体験が悪くなっていると思い至りにくくなっています。

 一方でファイルを受け取る側は、暗号化ZIPファイルが届く度に、別のメールで送信されてくるパスワードを確認してコピー・ペーストして、開封する手間がかかります。私などは研修で20人ほどの受講者から課題の提出を受けることがありますが、おのおののファイルがZIP暗号化されていると20回分、この作業を繰り返すことになります。

 送り主はエンジニアなど技術に詳しい方が多く、PPAP方式の無意味さはよく分かっている方ばかりなのですが、組織でシステムが導入されているなど、仕組み上、この方法でしかファイルを送れないといいます。会社も社員も思考停止してしまっているために、受け手の体験まで考慮されなくなってしまい、結果として社会全体では効率が悪くなっているのです。

マイナンバーにオンライン会議
受け手の体験を無視した強要は他にも

 受け手の体験を考えない仕組みやコミュニケーションの強要は、PPAP以外にも数多くあり、それぞれが社会全体の効率を下げる結果を招いています。例えば、企業が取引先の個人事業主(フリーランス)に求めるマイナンバーの提出方法などもそれに当たります。

 企業は取引先のフリーランスへ支払いを行った場合、税務署に提出する支払調書に相手のマイナンバーの記載が義務付けられています。このため、マイナンバーの提出が企業からフリーランスに依頼されることになるのですが、知人に聞くと「提出方法が各社各様で、委託元によって全く異なる様式で送付が求められるので、とても不便である」とのこと。中にはマイナンバーのコピーを印刷した指定の用紙の指定の場所に、切って貼って郵送するような「工作」をしなければならないケースもあるそうです。

 これが長期契約での業務であればともかく、単発の講演などを依頼されて引き受けたような場合でも、各企業で異なる様式の書類提出を毎度やり取りしなければなりません。このケースでも企業の側はそれほど痛みはなく、「国の決まりだから仕方がない」「業務委託先だから引き受けてくれるだろう」と思考停止して依頼しているに過ぎないのですが、受ける側は手間が大変かかり、痛みを全て引き受ける形になります。

 今後、ITでやり取りが完結するようになればよいのですが、マイナンバーのやり取りも受け手の体験を依頼する側が考慮していないことで、社会全体の効率が悪くなっている例のひとつです。

 私が「受け手の体験を考えない」コミュニケーションとして、PPAP以外に最近気になっているのは、オンライン会議でプレゼンテーションをする際、資料を全画面のスライドショーではなく編集画面のまま画面共有するパターンです。送信者は大きな画面で操作をしているのかもしれませんが、出先などで、小さな画面でミーティングに参加せざるを得ない人はプレゼン資料が小さく見にくくなってしまいます。

 これも正当な理由があればよいのです。プレゼン用途で資料を表示するのではなく、参加者全員で議論をしながら資料を共同で作っていくための話し合いの場としてオンライン会議が実施されているのなら、編集画面で問題ないのです。

 しかし「スライドショー表示のやり方が分からないから」「以前やってみたけれどもうまくできなかったから」というのでは言い訳でしかありません。それなら事前にどうやれば操作できるのかを確認したり、勉強したりすればいいだけの話です。相手のことを考えていない自分だけの理由、送り手側の怠慢で、自分は困っていないかもしれないですが、見ている側はストレスがたまります。

 こうしたケースでも、まずは相手の体験を良くすることを考えるべきです。それは相手の体験を良くすることが、コミュニケーションをスムーズにすることにつながり、最終的には情報を共有する対象者全体の効率化につながるからです。社会全体の効率化を考えれば、自分の都合で作業や不自由を相手に押しつけるのではなく、受け手の体験も含めて考える必要があるのです。