こんばんは。昨日の記事でパスワード付きzipファイル廃止を中央官庁で禁止になったことについて書きました。今日は関連して、パスワード付きzipファイルの一体何が問題なのか？という点について少し書いてみる予定です。少々長くなりそうなので、何回かに分割して書く予定です。お付き合いのほど宜しくお願いします。<(_ _)>

　今回は日経xtechの記事からです。

xtech.nikkei.com

　メールで添付ファイルを送る際に、添付ファイルをzip圧縮してパスワードを付与して送り、その後でパスワードをメールで別送するというやつです。

　これ、「意味ないよなぁ」と思いながらも、職場の方針だったり、取引先が要求してくるから渋々やってるというケースが多いようです。以前、アンケートツイートをしたことがあって、このとき70%ぐらいの方が「理不尽だとは思いながら、渋々やってる」とのことでした。なので、今回の平井デジタル担当相の発表はたいへん嬉しく思いました。

　さて、話を戻します。この記事にもありますように、マルウェア対策の足を引っ張っているという問題があります。パスワード付きzipファイルだと、受信したメールサーバでマルウェアに対するスキャンが出来ません。マルウェアチェックを素通りしてユーザの手元に届くというのはいかがなものかと。

　最近では、Emotetがこの問題を利用して、パスワード付きzipファイルを添付して送りつけてきます。この場合、メール本文にパスワードを記述してきています。それでもうっかり開いてしまう人はいるようです。

　そういう意味でもパスワード付きzipファイルは実害が大きいですね。

　もう一つ、受信者の作業負荷を高めているという点に関しても指摘されています。添付ファイルを受信して、パスワード記載メールを探して、コピペして展開するという…。送信側も手動で行う場合は手間がかかります。（問題なのは、パスワード付きzipファイルメールとパスワード記載メールをシステム側で生成して自動送信するケースがあるようです。これはこれで大きな問題があります。この点も改めて述べます。）

　この記事の中に「メリットはあるのか？」という点に触れています。記事中にはメリットとして考えられそうなことを一応挙げてはいますが、いずれも見事に否定されています。誤送信対策に関しては、特に自動生成・送信システムを使っているケースだと無意味です。盗聴対策にしても、全区間TLSで暗号化されていればいいわけですし、同一経路でパスワードを送信するということは、盗聴対策の体をなしてないことになります。ましてや、パスワードを平文で送っている時点でお察しな次第ですね…。

　代替策としてこの記事でも挙げられているように、クラウドストレージなんではないかと私も考えます。通信経路をhttpsで保護し、期間やダウンロード回数の制限である程度は回避可能ではないでしょうか。S/MIMEやPGPの普及もありそうですが、今まで普及して来なかったことや、鍵の信頼性担保の問題もありそうです。（そのあたりの手間をISPや企業・官公庁などが担ってくれるのかどうかという話も別にありますが…）

　他にも問題はありますが、この点については、次回以降に書いてみることにします。