快適ITライフのために知っておきたい
初めての情報セキュリティー

第8回 PW付きファイル送信時のリスク

あらゆる情報が数秒で地球上をかけ抜けるインターネットを日々利用している私達が、ネット上で安全にコミュニケーションを行うために理解しておくべきことがある。前回は「GPG」「S/MIME」といった2種類のメールの暗号化について説明した。今回はパスワード付きのファイルをメールで送信する際に知っておくべきことをお話ししよう。

zipファイルを送信する際に知っておくべきこと

コスト計算やプロジェクトプラン、会議の議事録などの社内情報を送る際、データ保護の一般的なやり方には、zipファイルにパスワードをかけ、電子メールに添付して送信するという方法がある。このパスワードはデータが添付されているメールの本文か、その直後に別のメールを送って知らせることが多い。ところがこのやり方では、メールへ不正にアクセスした第三者は、添付ファイルを簡単に開くことができる。スノーデン氏の証言によると、電子メールへの不正アクセスは世界における監視の拡大化、自動化されたデータの取得、データマイニング（大量のデータを分析する）・テクノロジーを利用した産業スパイの手法の代表例である。

大切なのはパスワードで保護されたzip データを送信すること自体が、ビジネスパートナーに大きな損害を与える可能性があると認識することだ。電子メールのプロトコル（規定）がデザインされた40 年以上前は、インターネットの規模が小さく、ユーザーはお互いに信頼できる少数のグループに限られていた。しかし、このプロトコルは前回もお話したとおり開発後にアップデートされていない。そのため、メール送信時のコアなプロトコルは認証システムをサポートしていないことから「スプーフィング」と呼ばれる、偽のメールアドレスを使用して不正にデータを取得することが簡単に行われてしまう。つまり、インターネット上の誰かがあなたに成りすまし、スパイウエアを含んだメールを送信出来るということだ。近年ほとんどのメールサーバーがアンチスパム対策や、ウイルスフィルターを使用している。しかし、電子メールにパスワードで保護されたzip ファイルがある場合、ウイルスフィルターにはその中身までチェックすることができない。現状ではメールの受信者は送信者が偽物ではないと信用するしか方法がない。

リスクを理解し対策することが重要

悪意を持つ第三者がコンピュータを乗っ取り、大切なデータを削除またはコピーしようとする場合は、受信者にメールを開封してもらうだけで十分な効果があるため、データの盗聴は効率良く儲けられる格好のビジネスとなっている。

こういった実情にも関わらず、多くの会社にとってオンライン上のリスクはそこまで深刻に捉えられていないのが現状だ。またリスクの度合いを証明することも難しい。特にコストカットの面から、「目に見えない安全なインフラ設備」への投資を正当化することは難しい。しかし安全な電子メールコミュニケーションには前回ご紹介した「PGP」や「S/ MIME」のようなメールの暗号化や署名を使って、リスクを最小限に抑える手立てがあることを知っておくことが重要だ。最終的にはこれらのオンライン上でのルールやリスクをきちんと理解している企業だけが勝ち残ることになる。