「パスワードは別のメールで送ります」ファイル送信方法の改善案を考える

2017/3/25 考え方、調べ物

メール添付

電子メールでファイルを添付して送信するときに、ファイル送信とパスワード送信のメールを別々に分けて送信する、という慣習があります。その意味と改善案を検討しました。

説明のポイント

  • パスワードを別のメールで送る慣習には批判も多い
  • ZIPファイルへの短いパスワードは危険
  • 改善案として、固定と変動の2つのパスワードの組み合わせを提案
スポンサーリンク

 

「パスワード別送方式」とは

重要なファイルを電子メールに添付して送信する場合、次の手順で送信されることが多いようです。

ファイル添付とパスワードを別々のメールで送る

  1. 添付するファイルをZIP形式で圧縮してパスワードを設定する
  2. 1通目の電子メールにZIPファイルを添付して送信する
  3. 2通目の電子メールに、ZIPファイルを解凍するためのパスワードを記載して送信する

この方法(仮に「パスワード別送方式」と呼びます)ですが、本当に意味があるのか疑問に思っていました。

IPAはパスワード別送方式を認めている

IPA(独立行政法人情報処理推進機構)は、パスワード別送方式の利用を認めています。

中小企業向けのセキュリティチェックのツールである「5分でできる!自社診断」のパンフレットには、次のように記載があります。

重要情報をメールで送る場合は、重要情報を文書ファイルなどに記入し、パスワードで保護した後メールに添付します。パスワードはその電子メールには書き込まず、別の電子メールか電話等で通知することが必要です。

2016年12月にリリースされた改訂版では、「別の電子メール」での通知を推奨する記述は削除され、その手段は「電話等」に限定されています。

ネット上の先行研究

ネット上では、技術に詳しい方を中心に、パスワード別送方式について疑問の声が見られます。私が読んだ記事のなかで、とくに有用なものは次の3件でした。

  1. パスワードはメールで別途送ります」の存在意義とは(カイ士伝、2012/1/5)
  2. 「メールの添付ファイルにパスワードかけて、別メールでパスワードを送る」に言いたいこと(病みつきエンジニアブログ、2015/6/3)
  3. 10の疑問を試して解明 セキュリティ大実験室 パスワードの別送に意味はある?(ITPro、2016/4/14、記事全文を読むには会員登録が必要)

上記の先行研究について、主張をまとめます。

まず、1.の「パスワードはメールで別途送ります」の存在意義とは」(2012/1/5)では、「パスワード別送方式」の意味を次のように分類しています。

  1. 誤送信防止のため
  2. 流出時の対策
  3. タッピング(盗聴)対策
  4. セキュリティ基準にそう定められているから

そして、いずれの意味にも疑問を投げかけています。

a.の「誤送信防止のため」については、2通送って両方とも送信先を間違えた場合には意味がないとしています。

b.の流出時の対策については、ウイルス対策ソフトやファイアウォールで対応すべきとしています。

c.のタッピング(盗聴)対策については、仮にターゲットにされていたら2通とも盗聴されるので意味がないとしています。盗聴の可能性については、3.「10の疑問を試して解明 セキュリティ大実験室 パスワードの別送に意味はある?」(2016/4/14)が実際に検証しており、盗聴できることが証明されています。

また、2.「「メールの添付ファイルにパスワードかけて、別メールでパスワードを送る」に言いたいこと」(2015/6/3)は、慣習としての対策に意味はないとし、パスワードを電話、手紙、口頭などで通知する必要があるとしています。

また、ZIP形式のパスワードは、10桁の場合で16日間をかけて解読できた検証があることを指摘しています。

別途の改善案としては、自社サーバーにファイルをアップロードする場所を設け、アップロードする使用者にセキュアなパスワードを強制させる方法を挙げています。

私が感じた問題点

これらの記事を見て私が気になったのは、(1)誤送信の問題と、(2)パスワードが短いと危険 ということです。

1通目のメールを送った後に、2通目のメールを新規に作成せず、1通目のメールを編集して送信するケースが見られます。この場合、1通目を誤った送信先に送っていると、2通目も確実に誤送信になります。

また、ZIP形式のパスワードが短いと、解析される可能性が高い点も気になります。検証が事実とすれば、10桁でも不足しているといえるでしょう。

4桁の数字でパスワードをかける事例も見受けられますが、意味が乏しいことになります。(※パスワードを解析できるソフトは、特別なものではなく、誰でも入手できる一般的なフリーソフトとして提供されています。)

しかし、とって変わるような画期的な代替方法が見つからない限り、「パスワード別送方式」は今後も続いていくと考えます。

改善案を考えてみました

「パスワード別送方式」への画期的な代替案は難しいですが、改善案として「パスワード別送&組み合わせ方式」を考えてみました。

固定パスワードと変動パスワードの組み合わせ方式

  1. あらかじめファイルの受信者と送信者のあいだで、電話で話し合い、固定のパスワード(A)を合意しておく。このパスワードは今後の送信でも利用する。(パスワードの例:電話番号やメールアドレスなど)
  2. 送信者は、「固定のパスワード(A)」+「1回限りのランダムな文字列のパスワード(B)」の組み合わせでZIP圧縮し、1通目のメールにファイルを添付して送信する。
  3. 送信者は、パスワード(B)を2通目のメールで送信する。

改善案の効果は何か?

  • ① パスワードを別送するという手順はいままでどおりで、違和感がない。
  • ② 送信時にパスワード(B)を盗聴されても、それだけではファイルを解凍できない。
  • ③ 誤った相手先にファイルとパスワード(B)を送信しても、それだけでは解凍できない
  • ④ ZIPファイルを解凍するためのパスワードは毎回変化する。
  • ⑤ 固定のパスワード(A)を加えることで、パスワードの桁が長くなるため、解析が難しくなる
  • ⑥ 電話でパスワード(A)を決める手間は、最初の1回だけで済む

完全ではないものの、改善の効果はあるように思います。特に、誤った送信先にファイルを送っても、ファイルを解凍される恐れが少ない点で優位と考えます。

ただし、誤送信先にファイルが届いても、ZIPの中身(圧縮されているファイル名)だけはのぞき見できる点には注意しましょう。

また、パスワードを毎回電話で伝える方法よりも、この方法なら初回の電話だけで済むため、手間が少なくなる点で優位でしょう。

まとめ

「パスワード別送方式」の問題点について検証し、その改善案を考えました。

私の提案する方法では、最初に固定パスワードの取り決めを電話でするのが面倒ですが、この手間はやむを得ないと考えます。

2つのパスワードを組み合わせる「パスワード別送&組み合わせ方式」によって、一定のセキュリティレベルは高まるように思います。

スポンサーリンク

栗原洋介