先日、ITエンジニアとして大失態をしました。
- 暗号化した添付ファイルと解除用パスワードを同一メールで送信
エンジニアとしてダサすぎます。
とテンション下がりまくりだったのですが疑問が湧きました。
- セキュリティ上、本当に役に立っているの?
- 昔の知識なだけで現在は違うのでは?
調べた結果は
ぶっちゃけ意味ないよ!暗号化って単語に騙されているだけです!!
という悲しい結果に・・・
なぜ意味がないのでしょうか。
- パスワードの解析が容易
- 盗聴対策になっていない
- ご送信対策になっていない
- パスワード付きZipはファイル・フォルダ名は覗けます
このような理由があります。詳しく解説していきます!
パスワードの解析が容易
ネット上には解析ツールがごろごろ転がっています。
誰でも簡単にダウンロードできて解析できてしまいます。
そのため、英数字記号を組み合わし文字数が長くてやっとパスワードと成り立つレベルです。
盗聴対策になっていない
メールの仕組み上、メールが届くには複数のサーバを経由します。
メール送信に暗号化を用いても自分のメールサーバ経路までです。
その先はサーバ間経路や相手のサーバ次第なので暗号化されている保証はありません。
- 途中経路で盗聴
- 相手が受信したサーバをハッキングして盗聴
といくらでも盗聴手段がありますので対策としては不十分となります。
誤送信対策になっていない
システムで自動化されている場合は対策としては効果0です。
手動であれば対策となりますが、完璧とは言えません。
どちらにしても穴だらけの対策となっています。
パスワード付きZipはファイル・フォルダ名を覗けます
はい、このようにファイル名・フォルダ名が覗けます。
暗号化ファイルをWクリックしてエクスプローラーで見ればOKです。
GMailの拡張子弾きもこの手法を利用しています。
まとめ:別々でメール送信するのは慣習でやっているだけ
- パスワードの解析が容易
→解読ツールがネット上にたくさんあるから - 盗聴対策になっていない
→送信経路が同じなら盗聴も簡単 - 誤送信対策になっていない
→自動送信システムの場合は効果0 - パスワード付きZipはファイル・フォルダ名を覗けます
いかがだったでしょうか。
昔の慣習で未だに続いてるザルなセキュリティ事情でした。
組織に属している内はルールに従わないとダメですけどね!!
てっとり早い対策としては
- パスワードはスマホにSMSを送る
とかでしょうか。導入コスト考えると実行する企業は皆無でしょうが・・・
管理人
本日もお読みいただきありがとうございました!!
スポンサーリンク
