【これは約 14 分の記事です】

セキュリティ解説者の佐藤英治です。今回は、定番の論争テーマ「パスワード付き添付ファイルを送るのは無意味か」について、改めて書こうと思います。

以前書いているのですが、最近「感情に任せた合理性を欠いた無意味論」が流行っているようなので、その流れに反する形で書かせていただこうと思います。

なお、以前の投稿はこちら

暗号化された添付ファイルとパスワードを別メールで送る、は無意味か

パスワード付き添付ファイルの送信者を貶める観点での反論記事

2020年10月28日のダイヤモンドオンラインで、このような記事が紹介されました。

「パスワード付き添付ファイル」が無意味どころか社会の害になる理由
https://diamond.jp/articles/-/251961

ここでは、

• セキュリティに明るい人たちの間で皮肉を込めて「PPAP」と呼んでいる
• 送り手は相手の痛みを考えない
• 日本以外ではパスワード付き添付ファイルを基本的に使わない
• 送り手は思考停止をしている
• 「受け手の体験を考えない」プレゼンテーションはストレス
  （パスワード付き添付ファイルとは無関係な話題）

と、送信者を貶める方向でパスワード付き添付ファイルを否定しています。

ここで書かれていることは、一つ一つを見るともっともそうですが、つながりを考えるとおかしな議論になっています。それを見ていきましょう。

「メールサーバでウイルスチェックできない」は暗号化添付ファイルメール送信以外の方法を選択する理由にはならない

この記事では、

• 暗号化したZipファイルはメールサーバ側でのマルウェアフィルターをすり抜けてしまう

と主張しています。これは正しいです。

そして、

• 比較的安全にやり取りする方法として、オンラインストレージがある

と主張しています。これも正しいです。おそらくセキュリティを考える人間ならほとんど同じように考えるでしょう。

ですが、

「暗号化したZipファイルはメールサーバ側でのマルウェアフィルターをすり抜けてしまう」問題があるので「比較的安全にやり取りする方法として、オンラインストレージがある」からそちらのほうが良い

という主張になると誤りです。

なぜなら、

現時点（2020年11月）で、GoogleドライブやOneDriveなどのオンラインストレージの受信者側の途中経路でマルウェアフィルターを適用する手段はない

からです。中間フィルタサーバでチェックできないことをもって暗号化添付ファイルを否定することは、現時点でのオンラインストレージ利用も否定する結果になり、代替手段の普及に逆に歯止めをかけてしまいます。

「現時点で」と言っているには理由がありますが、それは後述。

オンラインストレージを肯定するならこの理由

私はパスワード添付ファイルを否定する側ではありませんが、オンラインストレージを使ったほうがより良いということも否定しません。何故なら、

オンラインストレージでのやり取りでは、復号前（暗号解除前）のデータが受け手の手元に残らない

ためです。もちろん、受け手がコピーすれば復号したファイルは手元に残りますが、それはそのファイルを意図的にコピーするので当たり前です。意図せず、キャッシュを意識しなければ手元に残りません。

暗号化したファイルは

• 暗号化した時点での暗号方式

で、暗号化されます。その暗号化方式が古くなって使い物にならなくなっても（危殆化しても）アップデートされません。また、手元にあれば総当たりでパスワードを解除することができます。

実際、古いZIPの暗号化手法には脆弱性があり、ZIPの暗号手法はアップデートされています。おそらく今後も危殆化に対応してアップデートされるでしょう。

ですので、

「暗号化手法はいつか古くなってしまい総当たりが可能なので、手元に暗号化ファイルが残ってしまうと手間さえかければいつか必ず解読できる」ので「オンラインストレージのほうが安全」

という主張であれば正しいのです。マルウェアフィルターについては単純に

• 展開する時点（展開ファイルを実行する前）で必ずマルウェアチェックを実施する

ということを実施すればいいだけです。横着しなければいい、それだけです。もっとも「横着」は大きなセキュリティリスクですが、それは後述。

以前は「送り手」が暗号化にいちゃもんをつけていた

紹介している記事では、最大の問題は

「送り手に痛みがないこと」

と言っていますが、これこそ、

• 「パスワード付き添付ファイル」の最大のメリットであり安全性を高める理由

です。

パスワード付き添付ファイルについての問題提起は昔からありました。ある漫画を引用しましょう。画像が元サイトから消えると主張したいことがわからなくなるので、画像も必要な部分だけ引用いたします。

これは、2011年5月ごろの漫画です。

だからパスワードは重要と言ってるんだ！／理系の人々
https://next.rikunabi.com/tech/docs/ct_s03600.jsp?p=001876

この漫画、今主流のパスワード付き添付ファイル不要論と視点が違うのにお気づきでしょうか。

2011年では、「送り手側」が不要論を唱えていたのです。それが2020年「受け手側」が不要論を唱える現在と大きく違うところです。

しかし、今では「送り手側からの不要論」は聞かれなくなりました。理由は

• 暗号化が送信時に自動的になされることが主流になったから

です。

リテラシーの低い社員が送信しても必ず暗号化される。横着の仕様がありません。

属人化しない運用はセキュリティを大きく高めます。もちろん意識に訴えかけることは重要ですが、人間の配慮や意識に期待したセキュリティ対策は有効ではありません。そのような配慮ができない横着な人間が例えば1割いたとしたら、その人たちがセキュリティ上のリスクを高めるのです。

ダイヤモンド社の批判記事では「会社も社員も思考停止」していると非難していますが、

「思考停止した人でも使える仕組みになっている」

と考えるほうが適切かもしれません。よほど人選を絞っているベンチャー企業でない限り、組織内においては思考停止した人のほうが圧倒的に多いのは自明でしょう。

ほとんどの人は、「安全に送信することそのもの」は仕事ではありません。本来の仕事ではない送信に対して「思考停止」をしているからよいのです。セキュリティ専門家でない社員は出来るだけ本来自分が考えるべきことを考えてくれればいい。「結果として社会全体では効率が悪くなっている」と批判記事では書かれていますが、少なくとも「送り手側の効率」は上がっています。一般社員は余計なリスクを考えなくてよいからです。分業体制が整っている組織であればリスクを考えるのは情報セキュリティ担当者だけでよいのです。セキュリティ担当者だけは安全性や相手の利便性に対して「思考停止」をしてはいけませんが、それ以外の人はそれでいいのです。

おそらくこういう反論が出てきます。

「受け手も暗号ファイルの復号が仕事ではない」

はい、その通りです。

「送り手のわがまま」VS「受け手のわがまま」

「受け手の手間を考えないのは送り手のわがままではないか」と言われるかもしれませんが、その通りです。

ですが、「送り手のリスクを考えないのは受け手のわがまま」ということもできます。

送り手と受け手の譲り合わない相撲になります。

以前にも書きましたが、「通信は約束事」なので、両者が同意する必要があります。しかし、パスワード付き添付ファイル不要論のほとんどが「送り手のわがまま」VS「受け手のわがまま」にとどまってしまっています。どちらも相手に合わせる気などありませんが、仕方なくどちらか一方が折れるか、通信を取りやめます。

どちらが正しいかは「純粋にパワーバランス」になります。送り手からすれば「暗号化メールを受け入れない相手とはやり取りをしない」という選択肢をとれるので、ゲームとしては送り手のほうの立場が勝ります。

そうすると、劣勢の受け手側としては「送り手は相手に配慮をしていない」と、相手の人格否定の主張を唱え、「心配りをするように」というマナーに訴えざるを得ません。人格否定や法文化されていないマナーへの訴えは劣勢側が良くやる主張方法です。

対立の技術的解決方法は明確

この対立を解決する技術的方法は明確です。

• 受け手の復号も自動化する

です。受け手が嫌がる理由はセキュリティではありません。それは後付けです。単に面倒というのが理由ですので、受け手も自動化されれば黙ります。実際に送り手側は「暗号化が自動化されている」ので不要論を唱えなくなりました。

もちろん課題もあり、

• 具体的な実装方法やプロトコル
• 実装コストをどこが捻出するか
• 受け手の復号システム提案者に導入動機があるか

ということが課題です。

送り手が暗号化付きファイルを送る、という行為は、受け手が復号対応コストを負担することが前提です。受け手からすると理不尽に思えますが、実際に何らかの形でコスト負担をして対応せざるを得ません。

また、送り手のメールサーバ提案者には「送り手が費用を出してでもメールを自動暗号化して送りたいと思っているので対応する」という強い動機が存在します。しかし、受け手のサーバ提案者には「受けたメールを復号化する仕組みを入れます」という強い動機が自分からは発生しないのです。

このあたりの問題を解決しない限り、おそらく送り手と受け手は暗号化について対立し続けるだけです。

オンラインストレージの今後の可能性

ファイルを適切にやり取りする方法として、オンラインストレージの方が優れていることに異論ありません。送り手の暗号化と受け手の復号がどちらも自動でできるからです。

他にも理由はありますが、こちらで書いています。

両者が同意できるなら「オンラインストレージの共有フォルダ」のほうが「別メールで暗号ファイルとパスワード」より安全

そもそも利用者は暗号化と復号がされていることすら感じません。

ですが、現時点のオンラインストレージは

• 各ベンダーが独自の仕様で提供

しているため、「どちらも同じベンダーを使わない限りやり取りできない」問題があります。例えば自分がDropboxを使っていても相手がDropboxを拒否すればやり取りは出来ません。また、公共性の高い組織であれば「何故独自仕様に依存しなければならないのだ」という主張も出てくるでしょう。

独自仕様のため、「途中で通信を確認してフィルタリングをする」ことが困難です。そのため先述したように「現時点では」オンラインストレージではマルウェアフィルタリングができません。

オンラインストレージが組織利用で主流にならない理由は

1. 仕様がベンダー独自
2. 相手も同じベンダーを使っていなければならない
3. 一度利用を開始するとそのベンダーからの移行が困難
4. ベンダー理由による情報漏えいを防ぐすべがない
5. ベンダー理由による情報の消失を防ぐすべがない

です。

オンラインストレージはセキュリティも利便性も向上させるという意味で優れています。上記の問題が解消すれば、とは思っています。

ということで、誰でも思いつきそうではありますが、こんなオンラインストレージについて書いてみました。

ぼくのかんがえたさいきょうのオンラインストレージ

現時点では通信形式で同意を取りやすい「パスワード付き添付ファイルをメールで送る」が最もましな方法

情報漏えいとデータ消失に強い、仕様公開されているオンラインストレージが登場すれば「パスワード付き添付ファイル」問題は恐らく解消されますが、残念ながら現時点ではそのようなオンラインストレージはありません。

双方が同意できるのであれば

• 同じオンラインストレージを使う
• テレビ会議システムのファイル送信機能を使う
• そもそも暗号化しない

でも構わないのです。ですが、「一般的な方法」ということになると、現時点では「パスワード付き添付ファイルをメール送る」になります。

同意できない？

その場合には通信が成立しないだけです。それでよいかはご自身でお決めください。