共有するデータをzipファイルにしてパスワードをかけたうえで、メールに添付するという方法はこれまで多く利用されてきました。
しかし、パスワード付きzipファイルをメールに添付するというファイル共有のやり方は、セキュリティ面に問題があるとして、多くの企業で廃止されつつあります。
パスワード付きzipファイルをメールに添付することの問題点は何か、パスワード付きzipファイルをメールで送るのであれば、安全なやり方はあるのかを解説していきます。
パスワード付きzipファイルとは
パスワード付きzipファイルとは、データをzipという形式に圧縮したものに、パスワードをかけて暗号化したファイルのことをいいます。
zipファイルにすることで、データサイズを小さくできる、あるいは複数のファイルをひとつにまとめることができます。
ファイル共有の際に、添付容量に制限のあるメールを用いた場合でも、zipファイルは比較的扱いやすくなります。
重要度の高いデータをメールで送る際には、zipファイルにパスワードをかけることで、セキュリティリスクを抑えられると考えられ、これまではよく使われていました。
しかし、セキュリティリスクが高いことから、パスワード付きzipファイルをメールで送る方法は廃止されてきています。
zipファイルにパスワードを付けてメールで送るのは避けるべき
zipファイルにパスワードをかけてメールで送る方法は、セキュリティリスクが高い方法であることは明確になりましたが、「会社で決められたルールだから」「重要なデータを送信している意識づけになるから」と、多くの企業でおこなわれていた方法です。
しかし、セキュリティ対策としては不十分であることから、zipファイルにパスワードをかけてメールで送る方法を避ける企業は増えています。
なぜ、パスワード付きzipファイルをメールで送ることを避けるべきかを、正しく理解していきましょう。
実際にはメールの誤送信対策にならない
zipファイルにパスワードをかけてメールで送ることの、当初の目的は、「メールの誤送信対策」と「盗聴対策」でした。
「メールの誤送信対策」では、1通目に送ったパスワード付きzipファイルの宛先を間違えたとしても、パスワードを記載した2通目のメールを送らなければ、ファイルを開封することはできません。
しかし、実際には、1通目のメール送信後、瞬時に誤送信に気づいて、2通目のパスワードメールの送信をやめるというケースは少ないとされています。
そのため、zipファイルにパスワードをかけてメールで送ることは、メールの誤送信対策として効果がない場合が多く避けるべき手法と考えられてきています。
盗聴対策としては有効ではない
「盗聴対策」では、zipファイルにパスワードをつけたとしても、メールで送信しているのであれば、同じ通信経路を通っています。
悪意のある相手がzipファイルを盗むことができるのであれば、パスワードメールも盗むことができ、暗号化されたzipファイルは開封されてしまいます。
このように、メールの誤送信対策や盗聴対策としては意味がなく、問題点も多いため、zipファイルにパスワードをつけてメールで送ることは避けるべきとされています。
zipファイルにパスワードをかけてメールで送る問題点
実際にzipファイルにパスワードをかけてメールで送ることには、どのような問題があるのかを見ていきましょう。
情報漏えい対策として不十分
zipファイルにパスワードをかけてメールで送ることの問題点として、情報漏えい対策としては不十分であることが挙げられます。
メールの誤送信対策としては無意味であること、暗号化しても同経路から入手したパスワードによって、ファイルの開封が可能なため、第三者にファイルを読み取られてしまう可能性があります。
ほかにも、zipファイルは、パスワードの入力回数に制限を設けていないため、総当たり式にパスワードを入力していけば、解析することができてしまいます。
また、パスワードにより開封したzipファイルは、一旦パソコンのローカルストレージに保存されます。
自分しか使わないパソコンだからといって、暗号化せずにそのまま保存していると、パソコン本体が紛失や盗難の被害にあった際に、情報流出を食い止めることは不可能です。
仮に、暗号化していたとしても、同じパソコン内にパスワードを保存していれば、暗号化の意味はありません。
これらを踏まえると、zipファイルにパスワードをかけてメールで送ることは、情報漏えいの面で問題が多いと考えられます。
ウイルスチェックができない
パスワード付きzipファイルは、ファイルの中身が暗号化されているために、ウイルスチェックソフトが、ファイルの中身をチェックすることができません。
ウイルスチェックソフトをすり抜けることで、仮にファイル内にマルウェアが仕込まれていたとしても、受信者に届けられてしまいます。
ファイル共有の際に、zipファイルにパスワードをかけてメールで送ることが慣習となっている場合、受信者は何の疑いもなく、暗号化されたファイルを開いてしまうこともあります。
実は、そのファイルの中にマルウェアが仕込まれていたとしても、ファイルを開いてしまえば、マルウェアによる感染は拡大してしまいます。
したがって、zipファイルにパスワードをかけてメールで送ることは、ウイルスチェックソフトをすり抜け、マルウェア感染拡大の原因になってしまうのです。
サイバー攻撃から狙われやすい
zipファイルにパスワードをかけてメールで送る方法は、多くの企業で「安全ではない」と周知されています。
そうでありながら、いまだにその方法を使っていると、セキュリティに対する意識が浅いとみなされ、サイバー攻撃の標的にされやすくなる可能性も捨てきれません。
また、攻撃者が狙うのは、その企業の情報だけとは限りません。
実際に、パスワード付きzipファイルをメールで送る方法を悪用した手口では、関係性のある人物になりすまして、ウイルスを仕込んだファイルをメールに添付して送り、感染を拡大させるという事例も存在します。
取引のある相手だからといって、受信者がファイルを開封すれば、ウイルスがパソコン内へと侵入し、パソコン内の連絡先を悪用して、再びなりすましメールを送信します。
このように、zipファイルにパスワードをかけてメールで送る方法は、サイバー攻撃の標的になりやすいと共に、ほかの企業へ、マルウェア感染を拡大させる原因にもなるという問題を抱えているのです。
手間がかかり効率が悪い
受信者がメールで受け取ったzipファイルは、一旦ローカルストレージに保存されます。
そして、あとから受信したメールに記載されたパスワードを入力して、zipファイルを開封します。
パスワード付きzipファイルの閲覧には、この一連の作業が強制的に発生します。
パスワード付きzipファイルと、パスワードを記載したメールが複数送られてきた場合、zipファイルとパスワードの照合にも、手間と時間が発生してしまいます。
メールによるファイル共有は、ファイルが書き換わるたびに、メールを再送しなければいけません。その際、【変更版】【差替版】のように、変更した履歴をファイル名で明示する必要があります。
しかし、ファイルの書き換えに対するやりとりを重ねた場合、どのファイルが最新であるかを、しっかりと把握しておかなければいけません。
また、ファイルが書き換えられるたびに、zipファイル添付メールとパスワードメールの2通が受信され、パスワード入力を求められる作業も発生します。
したがって、zipファイルにパスワードをかけてメールで送ることは、業務効率の面から見ても、手間と時間がかかる非効率な方法なのです。
多様性のある働き方と相性が悪いから
働き方の多様化に伴い、リモートワークが普及した現代では、仕事のメールを確認する端末はパソコンだけではありません。
zipファイルはスマートフォンから閲覧しづらく、zipファイルを開封するためには、解凍アプリケーションをインストールしなければいけません。
しかし、スマートフォンを公私で使用している場合、インストールの有無は個人の判断にゆだねられます。
移動中や外出先でも、すぐにファイルの中身を確認できないことは、すぐに回答したくてもできない、次の行動に移せないなど、仕事をスムーズに進めるうえで、大きな足かせになりかねません。
したがって、zipファイルにパスワードを付けてメールで送ることは、現代の働き方とは相性が悪いとされています。
zipファイルにパスワードを付けてメールで送る安全なやり方はある?
zipファイルにパスワードを付けてメールで送ることは、安全性が不透明なため、基本的には避けるべき方法です。
しかし、複数のファイルをまとめて送りたい、ファイルサイズを小さくしたい場合には、わかりやすくて使いやすい方法であることも確かです。
そこで、zipファイルにパスワードを付けてメールで送る際に、極力セキュリティリスクを抑えた安全なやり方について見ていきましょう。
パスワードは別の伝達手段を使う
zipファイルを開封するためのパスワードを、メール以外の手段で伝えることで、情報漏えいのリスク回避につながります。
その理由は、仮にzipファイルが盗まれたとしても、パスワードを手に入れることができなければ、zipファイルを開封することができないからです。
パスワードを伝える手段は、ビジネスチャットやSMSなど、相手の時間を奪わないツールを用いるようにしましょう。
ただし、この方法は別の伝達手段が必要になり、ツールをまたぐため、あまり効率的な方法ではありません。
複雑で長いパスワードを設定する
zipファイルは、開封する際のパスワード入力回数に制限を設けていないため、4〜6桁の数字で生成されたパスワードであれば、解析が可能です。
仮に、6桁のパスワード(数字、英字、記号を含む)を設定した場合、パスワードの候補数は約6470億個になりますが、高速演算処理が可能な解読ツールを使用すれば、約17秒で解読することが可能です。
しかし、パスワードの桁数を8桁以上にした場合、解読にかかる時間を数時間伸ばせる可能性は高まります。
したがって、複雑で長いパスワードを設定することで、第三者にファイルを開封されるリスクを抑えることも可能です。
なお、複雑で長いパスワードを設定するには、パスワード自動生成ツールを使うことで、破られにくいパスワードを生成することができます。
zipファイルにパスワードをつけてメールで送るよりオンラインストレージ
zipファイルにパスワードをつけてメールで送る方法は、安全性が確立されないことにくわえ、非効率であることから、社会全体として廃止の方向にあります。
最近は、ファイル共有の際に、ビジネスチャットやオンラインストレージを使う企業が増えています。
現段階で、ファイル共有方法に、zipファイルにパスワードをかけてメールによるやりとりをしているのであれば、安全で効率のよいやり方へと移行することをおすすめします。
zipファイルにパスワードをつけてメールで送る方法に替わる、安全な共有手段として、オンラインストレージが適しています。
オンラインストレージは、ファイルをHTTPSという方式で暗号化しているため、通信経路における盗聴を恐れることもありません。
マルウェアの検出も可能であることや、スマートフォンからファイルを確認することもできます。
オンラインストレージであれば、zipファイルにパスワードをつけてメールで送る方法の問題点を解決できるため、積極的に導入を検討してみましょう。
導入前のヒアリングから導入後の活用方法まで、万全のサポート体制を整えている法人向けオンラインストレージがセキュアSAMBAです。
オンラインストレージ導入の際には、ぜひセキュアSAMBAにご相談ください。
