メールの「zipにパスワード付けて送ります」は、今やNG! なぜ使っちゃダメなの

写真拡大 (全3枚)

仕事では、ExcelやWordなどのデータやプレゼンテーション資料など、さまざまなファイルやデータをメールに添付してやりとりする機会が多い。
テレワークという形態が広まったことで、データファイルのやりとりはさらに増えている。

そこで気になるのがセキュリティだ。

メールなどでファイルをやりとりするときには、外部に漏洩しないように気を使う必要がある。
会社側で専用のファイル共有システムなどを用意していれば問題はないのだが、現実には会社側で専用システムが用意されてなく、自分で用意するといったケースも多い。

そこでよく使われているのが、ファイルを圧縮して暗号化したり、圧縮ファイルにパスワードを付加したりする方法だ。
既存の汎用ツールが使えるため、新しいソフトやシステムが不要となる。何より手軽に使えるし、わかりやすい。

たが、セキュリティの知識がある人や会社ほど、このような暗号化やパスワードを付ける方法は「NG」と判断し、禁止されている。

一体なぜなのか。


●使われてきた「パスワードは別のメールでお送りします」の仕組み
「パスワード」はセキュリティ対策の基本中の基本だ。
PCに限らず情報を保護する場面では、パスワードを使って保護する方法は基本的で、ここからはじまると言ってもよい。

ATMや金庫の暗証番号も広義ではパスワードの1つだ。
古くは忍者が本人確認に使ったと伝えられる「山!」「川!」という合言葉も立派なパスワードである。

だから、セキュリティ対策が必要な場面ではパスワードを使う。
この考え方そのものは間違っていない。

ではなぜ、メールなどでファイルのパスワードを送るのがNGなのか。

メールなどでファイルを送るときに、zipファイルにするのは一般的に広く知られている方法だ。
zipファイルは圧縮ファイルとも呼ばれ、ファイルサイズを圧縮することができるので、メールで送受信時のデータサイズを小さくし、通信にかかるサーバー負担や通信時間、通信料を節約することができる。また、複数のファイルを1つにまとめて送ることもできる便利なファイル形式だ。

さらにこのzipファイルには、圧縮をかける際に任意のパスワードを設定してロックをかけ、通常ファイルに戻す(解凍する)際に指定されたパスワードで解錠させることで、セキュリティを高めることができる。

パスワードを付与したzipファイルは、ファイルを見るためにはパスワードを入力してzipファイルを解凍しないと中のファイルを開けないのだ。
zipファイルの中に何が入っているかまでは見られるが、ファイルの中身を開いて見ることはできない。


パスワード付きのzipファイルは中にパッケージされたファイルを開こうとするとパスワードを求められる。


このパスワード機能を利用して、
・メールでパスワード付きzipファイルを送る
・別のメールでzipファイルを開くパスワードを送る
こうした方法が以前から使われてきた。

「ご依頼の書類をパスワード付きのzipでお送りします。」
「パスワードは別のメールでお送りしますのでご確認ください。」
こんなメールのやりとりをした経験がある人も多いはずだ。

昔はこれでよかった。
しかし今はここに、1つの大きな問題がある。


●パスワード付きzipファイルのメール送信がNGになる理由
今、多くのメールシステムは、受信したメールをスキャンしてセキュリティ対策を行う。
特別なビジネス用システムに限らず、GmailやYahoo!メールのような無料のメールサービスでも行われている。

受信したメールをスキャンし、メール内容を判別して迷惑メールに振り分けたり、ウイルスを検知して警告したりする仕組みになっている。

特にウイルス検知については高度化が進み、添付ファイルに仕掛けられた不正なプログラムなどを発見してメールを受信するPCをウイルス感染から守っているのだ。

このときパスワード付きのzipファイルの場合は、スキャンができないためスルーされてしまうのだ。

パスワード付きのzipファイルはパスワードがなければ開けないし、暗号化されているため中身が何かもわからない。そのため、ウイルスに感染したファイルが入っていても、そのまま正常に受信されてしてしまうのである。

そして「別のメール」で送られてきたパスワードを使って、zipファイルからウイルスに感染したファイルを開いた瞬間、PCはウイルスに感染してしまう。

送信者がウイルス感染したファイルを知らずに送るケースだけでなく、第三者が故意にウイルスを仕込んだパスワード付きzipファイルを送りつけるケースもある。

「なんだそんなことか」
そう思うかもしれない。

しかし日々高度化する悪意あるマルウェアやウイルスの対策は企業にとっては大きな問題だ。マルウェアやウィスル感染すれば、企業の機密情報が流出や漏えいするリスクが高まる。これを防止するために用意している対策が無効化されることは見逃すわけにはいかない。

こうした理由から多くの企業や組織では、これまで使っていた
「パスワード付きzipで送ります」
この方法を、今、禁止しているのだ。

現在、メールでのパスワード付きzipファイルの送受信に代わる方法は、
Dropboxのようなファイル共有システムや、Slackのようなファイルを扱えるチャットツールなどが利用されている。

つまり、パスワードを付けてファイルを送るのではなく、相手にしかわからないような場所や、送る相手しかアクセスできない場所にファイルをアップロードして共有するという方法に変わりつつあるのである。

とはいえ、こうした現状をまだ知らない人も意外に多い。
もしあなたの仕事相手から「パスワード付きのzipで送ります」と言われたら、
「その方法はもう危ないのでやめましょう」
そう教えてあげてほしい。


こんなメールが送られてきたら、「この方法は危ないです」と教えてあげてほしい。



執筆 八木 重和