パスワード付きzipファイル強制と標的型攻撃対策
こんばんは。一昨日から連続してパスワード付きzipファイルのメール送信に関する弊害について書いています。セキュリティ面においては、メリットよりもデメリットの方が多いこのやり方。現状でパスワード付きzipファイルで送ることを義務付けている組織もあるようです。添付ファイルを自動的にzip化してパスワードをかけて送信するというシステムを導入しているケースもあるようです。
その場合、ウイルスチェックをして問題のなかった場合のみ、zip化してパスワードを付与して送信するということのようです。
一見ソリューションとしては良さげに見えますが、昨日書いたように、受信側としては受け取ったメール(添付ファイルを含む)を信用していいのかどうかという問題があります。送信側としては「うちはきちんとしているから問題ない」という風に主張するのでしょうが、受け取る側は不安です。
ここに添付ファイルが付いた標的型攻撃メールが来たとしたらどうでしょうか?しかも、パスワード付きzipファイルだった場合。うっかり信用してしまったら開けてしまいますよね。本来ならば、サーバ側で対応出来ていればいいのですが、パスワードがかかっているが故に手出しが出来ない…。
ちょっと調べてみたところ、こういうプラグインがありました。
オープンソースだそうです。パスワード付きzipファイルでも対応可能だそうです。そのままユーザーに渡さずに、Web上からユーザー自身でパスワードを入力させるようです。ここで展開後、無害化してユーザーに渡すそうです。
ユーザーに渡す前に、ユーザー自身にパスワードを入力させて展開した後に無害化するという手順のようです。
パスワード付きzipファイルでの送信を強制するのであれば、このように標的型攻撃メール対策も合わせて導入しておくべきですよね。どこまで考えている組織があるのやら…。