暗号化された添付ファイルとパスワードを別メールで送る、は無意味か

Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+

【これは約 14 分の記事です】

セキュリティ問題で、パスワードの定期変更と同じように、「意味があるのか」と議論になる問題として、

暗号化したファイルを、添付ファイルとしてメール送信、それとは別にパスワードの買いたメール送信

というルールに意味があるか、というものがあります。

ほとんどの人が「面倒くさいから」ということで嫌がる「添付した暗号化ファイルとパスワードを別メールで送る」ですが、ほんとうに意味が無いか、今回は考えます。

なお、「無意味」という人には2通り存在します。

  1. 暗号化ファイルとパスワードを別にすること自体を面倒で無意味という人
  2. 「別メール」であっても「同一経路」なので無意味という人

暗号化した添付ファイルと別メールでパスワードを送る

添付ファイルの情報漏えいの3パターン

添付ファイルが漏洩するパターンは3つ考えられます。

  1. 通信経路上で盗聴される
  2. メールを保存しているサーバ上のデータを読む
  3. 届いたメールを転送して別の場所で読む

添付ファイルとパスワードを別々に送った場合、1の「経路上で盗聴される」は、メールをほぼ同時に送った場合には添付ファイルもパスワードもほぼ同時に盗聴されるので安全性は低いといえます。逆に言えば、添付ファイル送信とパスワード送信の間隔がある程度あいていれば、比較的安全です。

もっとも、最近のメール送受信では通信経路を暗号化されることが多くなりました。クライアントとメールサーバの間も暗号化され、メールサーバ間もメジャーどころ同士は暗号化されています。また、盗聴するためには通信経路の途中に割り込む必要がありますが、プロバイダ間のメールサーバのやり取りを盗聴できるのはバックボーンプロバイダぐらいです。クライアントとメールサーバ間でも有線であれば通信経路を知っていないと割り込めません。無線であればうまく通信経路に割り込める可能性はありますが、通信そのものを暗号化していれば、盗聴されても復元できないので安全性は高いでしょう。

2の「メールサーバ上のデータを読み取られる」ですが、添付ファイルメールと暗号化メールの保持期間が重複していれば、確実にファイルの復号化ができます。その意味でこのルールはあまり意味をなしません。

3の「メール転送」ですが、まず、パスワードだけが転送されてもあまり意味はありません。暗号化された添付ファイルだけが転送された場合、総当りでパスワードを試すことができれば、理論上いつかはパスワードは破られ情報漏えいします。ただ、十分に強度のあるパスワードで暗号化されていれば、パスワードがなければ現実的にはほぼ復号はできないと考えていいでしょう。その意味で、このルールは「パスワードの強度が十分強く」「両方転送しなければ」安全性が高いといえます。

そう考えると、確実に無意味なのは2の「メールサーバ上のデータを読まれた場合」です。その意味で、Webメールでメールを受信する人にとっては、無意味に見えるかもしれません。1と3に関しては、それなりの抑制力があり、無意味とまではいいません。

パスワードは別経路で送るのが理想

「無意味」とまでは言えないものの、暗号化添付ファイルとパスワードを別メールで送る、は、同じメールという手段を使っている時点で情報漏えいのリスクが高まるのは確かです。これを防ぐには

  • 添付ファイルとパスワードで、経路を別にする

となります。

例えば添付ファイルを誰もURLを知らないWebサーバ上に置きURLをメールで伝える、そしてパスワードを電話でおくる。これであれば、メールを盗聴してもパスワードはわかりません。

つまり、「暗号化した添付ファイルとパスワードを別メールで送る」よりは「暗号化した添付ファイルとパスワードを違う経路で送る」方が安全です。つまり

「暗号化した添付ファイルとパスワードを違う経路で送る」に比べて「暗号化した添付ファイルとパスワードを別メールで送る」は無意味

は正しい言えます。

別の経路を取得するのは現実的か

ただし、「暗号化した添付ファイルとパスワードを違う経路で送る」では、ある問題が発生します。それは

送信者と受信者がその経路を使うことに同意できるか

です。通信はプロトコル(約束事)ですので、お互いがその約束事に同意できなければ通信は成立しません。

例えば、こんなことを送信元の取引先から言われたら納得できるでしょうか。

暗号化した添付ファイルをメールで送った。パスワードは別経路で送るほうが安全なので、送信元の人間とFacebookで友だちになってパスワードをメッセンジャーで送ってほしい

取引先が下請けにこんなことを求めれば、パワハラや下請けイジメと取られかねないでしょう。つまり、現実問題として、違う経路を選択できない場合があるのです。

「通信はお互いが同意した約束事の上で成り立つ」という基本をわきまえないパスワード別メール批判

暗号化した添付ファイルを別メールで送るのは無意味だ、と主張する方は、通信の基本をわきまえずに主張している様子が見受けられます。例えば

内閣サイバーセキュリティセンターの庁舎内における電子メールルール
http://www.nisc.go.jp/active/general/pdf/dm5-02-061_sample.pdf

ここでは、

8.3 添付ファイルのパスワード保護

(1) 行政事務従事者は、要機密情報を含む添付ファイルを電子メールで送信する場合には、パスワードを用いて保護する必要性の有無を検討し、必要があると認めたときは、添付ファイルにパスワードを設定すること。
[操作手順] 文書ファイルのパスワードのかけ方(WordRの場合)
WordRの[ファイル]メニューから[名前を付けて保存]を選択した後、 [ツール]から[セキュリティオプション]を選択し、[読み取りパスワード]を設定する。
あるいは、[ツール]メニューから[オプション]を選択し、[セキュリティ]タブの画面からも同様の設定が可能である。

(2) 行政事務従事者は、保護に用いたパスワードについては、あらかじめ受信者と合意した文字列を用いるかあるいは、電子メールで送信せずに電話などの別手段を用いて伝達すること。

となっていて、パスワードを電子メールで送ることを禁止しています。が、これをよく見ていただくと

行政事務従事者は

となっています。つまり、このルールを適用できるのは、庁舎の管理者が把握でき、命令や指示ができる範囲の人員のみです。

他の行政機関で、例えば

募集要項1 英語(地域を限定) | 人材募集・研修 | JICAについて – JICA
https://www.jica.go.jp/recruit/kenshukanri/01_english.html

留意事項
電子メールの件名は「受験言語 氏名」
例:英語 国際花子
添付ファイルには必ずパスワードをつけ、パスワードは必ず別メールで送信

となっています。添付ファイルとパスワードは別経路ではなく、どちらもメールですが、この場合、送信者は

外部からの応募者

です。外部からの応募者に強制できることは限定的です。

あるサイトでは、

「内閣官房情報セキュリティセンター はパスワードを別経路で送るように指示しているが、JICAはパスワードを同じくメールで送るように指示している。JICAは酷い」

という感じに解釈できる主張がなされています。JICAにメールを送信する人の別の通信手段をこちらから提供できるなら話は変わりますが、そうでない以上、JICAが外部からの添付ファイルのパスワードを同一経路の別メールで求めるのは、応募者と面識がないのであれば最適解です。

どのような手段で送るのが安全か

添付ファイルを送信する時、どのような手段で送るのが安全か。正解は以下です。

送信者と受信者が安全だと同意できる方法で送る

・・・当たり前ですね。厳密には送信情報中で述べられている人たちも同意できることも必要ですが、その人達は送信方法の選択に立ち会えないので、送信者と受信者の考慮に委ねていいと同意している、としましょう。

極端な話、送信者受信者双方が同意していれば、暗号化して送る必要はありません。どちらかが必要だと感じているから、それに合わせるために暗号化が必要なのです。

もちろん、これだと「では、どういう方法なら同意できる?」という答えにはなりません。そうすると、

お互いがメールを使える場合で、他の手段に同意できるか不明であれば、暗号化した添付ファイルとパスワードを別メールで送る

がベストではありませんが、ベターな方法になります。何故なら、添付ファイルをメールで送った時点で、パスワードをメールで送ることは不可能ではないからです。あとはそれに同意できるかの問題。

「添付ファイルとパスワードを別メールで送る」が他の方法よりましな理由

添付ファイルとパスワードを別メールで送る、が他の方法よりましである理由として、こういう理由があります。

  1. 少なくとも添付ファイルをメールで送ることが出来る時点でパスワードもメールで送ることが出来る
  2. 特定のサービス提供者への依存度が低い
  3. プロセスを自動化出来る

1は前に説明したので、2の説明に行きます。例えばFacebook Messengerを使えば、おそらく通信は暗号化され、誤った転送もされにくいので、安全な送信方法と言えるでしょう。が、この安全はFacebookという特定のサービス提供者のセキュリティ強度に依存します。Facebookを信用する、も選択肢の一つですが、その選択肢は特定のサービス提供者に依存しています。メールももちろんどこかのメールサーバを利用しますが、メールサーバの乗り換えは比較的容易です。面倒臭さを抜きにすれば、特定のサービス提供者に依存することなくメールサービスの利用は可能です。

「自動化出来る」ことはセキュリティを向上させる

外部に添付ファイル付メールを送る際に、強制的にファイルを暗号化し、その後パスワードメールを自動で送る、という仕組みを導入している企業や官公庁が幾つかあります。

私が知っている範囲では、2017年の福井県庁から送信されるメールはこの仕組み上で送信されています。

これが前述3の「プロセスを自動化出来る」です。

「暗号化された添付ファイルとパスワードを別々に送る」は自動化しやすいのです。

例えば添付ファイルはメール、パスワードはFacebook Messengerという組み合わせを考えてみましょう。添付ファイルを送ったあとでパスワードを送るプロセスを自動化するのは、できなくはないかもしれませんが、コストがかかるでしょう。Facebook Messengerが仕様を変更したらそれに応じて対応しなければいけません。

添付ファイルの暗号化の脆弱性は「利用者が面倒臭がってそれを行わない」ことにあるので、暗号化のプロセスとパスワード発行のプロセスを自動化すれば、この脆弱性は解消されます。送信者側に面倒なことは何一つない(少なくとも送信時には)ので、このルールが無意味であると主張するモチベーションは、送信者側から消えます。

推測が入りますし、統計取りたいところですが、福井県庁内でも「添付ファイルとパスワードを別々に送るなんて意味ないんじゃないか」という文句を言う人間が、このシステム導入以前には多くいたのではないかと思います。が、このシステム導入以後、福井県庁内から「別メール無意味論」を唱える人は減っているのではないかと思います。文句を唱える動機が減っていますので。

もちろん、これだと、受信者側からの「このルールに意味があるのか」という声を消すことはできません。受信者は不自由さを理由にルールが無意味であることを主張し、自分を正当化しようとし続けているでしょう。先程の福井県庁の例ですが、「別メール無意味論」を唱える送信者の福井県庁職員は減ったかもしれませんが、受信者である業者などで「別メール無意味論」を唱える人は増えているのではないかと推測します。

「暗号化した添付ファイルとパスワードを別メールで送るのは無意味だ」という主張は、受信者側の復号プロセスも自動化されるまで消えることはないのかもしれません。

結論

先程「無意味という人は2通り存在する」と申し上げました。それぞれに対しで、「別メール無意味論は正しいか」を回答します

  • 暗号化ファイルとパスワードを別にすること自体を面倒で無意味という人

この人は、「面倒くさい」という本音に「むいみ」というルビを振って正当化しているだけです。こういう人たちは、暗号化メールの暗号化と復号化が自動でなされるようになれば、意見を撤回するでしょう。所詮、自分事ではなくなるので。

  • 「別メール」であっても「同一経路」なので無意味という人

考え方自体は正しいです。ただ、現実問題として、別経路が選択できない中では、無意味とは言い切れない、という回答になります。

 

佐藤英治
情報処理安全確保支援士第5338号。ネットワークスペシャリスト。防災士。東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用や従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を設立し現在に至る。研修では基本的に着物でお話させていただいております。
Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+