2015年03月11日

添付ファイルにパスワードをかけ、別メールで送る無意味な行為について

なんか、たまに、仕事で

・添付ファイルにパスワードをかける。
・次のメールでパスワードを送ってくる。

という謎の行為を行う企業があるのでIPA 独立行政法人 情報処理推進機構ではどんな指導をしてるのか気になって調べてみました。

大企業・中堅企業の情報システムのセキュリティ対策〜脅威と対策〜
2.2.2 電子メール送信時の注意
情報漏洩に関して盛り込むべきセキュリティポリシーの内容として、以下のものがあげられる。
(1) 利用者に対するセキュリティポリシー
第三者に電子メールを見られる可能性があるため、添付ファイルを暗号化し、パスワードを設定する。

なんてこった!設定したパスワードに関するガイドが無い!
そもそも、SSLやS/MIME に関する記述が無い!



でも、よく調べてみたら、一応こんなのもあった

IPA 電子メール利用時の 危険対策のしおり
メールそのものの暗号化とはいえない方法ですが、添付ファイルとするドキュメントを事前に暗号化しておき、メール送信で添付する方法が、お手軽です。
復号のためのパスワード等は、別の通信手段を利用して相手に伝えることが重要ですが、ドキュメントを暗号化する方法は、市販ソフトを利用したり、ドキュメント作成ソフトウェア(Office製品等)や圧縮・解凍ソフトが用意している暗号化(パスワード保護)処理を利用することができます。
あんまり重要そうに見えないよ!


気になったので政府関係の重要な機関はどうしてるのかも調べてみる
内閣サイバーセキュリティセンター

庁舎内におけるクライアントPC利用手順  電子メール編 雛形 DM5-02-061
8.3  添付ファイルのパスワード保護

(1)  行政事務従事者は、要機密情報を含む添付ファイルを電子メールで送信する場合には、パスワードを用いて保護する必要性の有無を検討し、必要があると認めたときは、添付ファイルにパスワードを設定すること。
[操作手順] 文書ファイルのパスワードのかけ方(WordRの場合)
WordRの[ファイル]メニューから[名前を付けて保存]を選択した後、  [ツール]から[セキュリティオプション]を選択し、[読み取りパスワード]を設定する。
あるいは、[ツール]メニューから[オプション]を選択し、[セキュリティ]タブの画面からも同様の設定が可能である。

(2)  行政事務従事者は、保護に用いたパスワードについては、あらかじめ受信者と合意した文字列を用いるかあるいは、電子メールで送信せずに電話などの別手段を用いて伝達すること。

ちゃんと、電子メールでパスワードを送信するなって書いてありますね|・ω・)。o (よかった!)

他の行政機関がどうなってるのかも調べてみよう

募集要項1 英語(地域を限定) | 人材募集・研修 | JICAについて - JICA
添付ファイルには必ずパスワードをつけ、パスワードは必ず別メールで送信
これはひどいw

日本学術振興会 平成27年度学術システム研究センター新規研究員候補者推薦にあたっての留意事項
提出書類(様式1、2、3)に必要事項を記入の上、rcss-senkou @ jsps.go.jpに送信してください。その際、セキュリ ティのため、添付ファイルには任意のパスワードを設定し、別メールにてご通知ください。また、様式送信の際は、 「件名」欄に「○○(機関名)  研究員候補者推薦」とし、パスワード送信の際は、「件名」欄に「○○(機関名)  パスワ ード」とご記入ください。

独立行政法人 医薬品医療機器総合機構 科学委員会専門部会委員候補者の推薦について(依頼)
提出書類(様式1,2,3)に必要事項を記入の上、kaikakuhonbu @ pmda.go.jp に送信してください。 その際、セキュリティのため、添付ファイルには任意のパスワードを設定し、別メールにてご通知く ださい。また、様式送信の際は、「件名」欄に「○○(所属機関名) 科学委員会専門部会委員候補者推 薦」とし、パスワード送信の際は、「件名」欄に「○○(所属機関名) パスワード」とご記入くださ い。
なんなんですか?この酷いテンプレートは!

案 - 新エネルギー・産業技術総合開発機構 「情報基盤サービス業務の調達」民間競争入札実施要項(案)に対する意見募集への回答及び対応
「情報基盤サービス業務の調達」民間競争入札実施要項(案)に対する意見募集への回答及び対

パスワード以外であっても、一定のセキュリティが確保された方式であれば良いと考えます。よって以下の通り修正することを推奨いたします。
修正前)
送信者のアドレスまたは発注者のドメイン(@nedo.go.jp)でファイルをダウンロードするためのURLを送信すること。また、パスワードも同様とし、URLを送信したメールと別メールとすること。
修正例)
送信者のアドレスまたは発注者のドメイン(@nedo.go.jp)でファイルをダウンロードするためのURLを送信すること。また、パスワードも同様とし、URLを送信したメールと別メールとすること。なお、パスワード方式以外の場合はセキュリティが確保されていることを担当職員に説明し、了承を得ること。

ご意見としては承りましたが、要件とする必要はないと判断し、現行仕様とさせていただきます
修正案も別メールでパスワード送信は変えない

平成 22 年度産業技術研究開発委託費次世代高信頼・省エネ型 IT 基盤技術開発事業 (認証・暗号鍵分散管理技術の開発))
【暗号鍵共有利用システム】利用準備ができました  1/3  初期化ファイルの配布
【本文】
暗号鍵共有利用システムを利用する準備ができました。
当メールの添付ファイルと、別メールでお送りしますパスワードにて初回登録を行ってください。
暗号鍵を添付ファイルで送って別メールにパスワード…。
|。・ω・)。o (ふつう片方盗聴されてたら両方されてるのが当たり前。意味がない。こんな人たちが作ってる認証システムなんか信頼できるんですかね?)

第38回産総研・新技術セミナー  開催案内
申 込方法  E-mailで(件名:第38回新技術セミナー参加申込)、〇臆端毀勝↓⊇蠡圧ヾ悄↓L鮨Α↓づ渡暖峭罅紛杁渭⇒軅茲箸靴道藩僂靴泙垢里如∋臆端堊完の 番号を記入ください)、E-mailアドレスを新技術セミナー事務局(tohoku-ss-ml@aist.go.jp)宛てお送り下さい。代
表申込者宛て、受付完了メールを事務局より差し上げます。受付完了メールが届かない場合は、お手数ですが、022-237-5218(担当者  猪狩)まで電話をお願いいたします。
また、 セミナーでは質問しにくいことを個別に講師に質問するなどの簡単な相談をご希望の場合は、α蠱夢望(講師名)と明記ください。(先着3件まで。件数により1件10〜30分。講
師の都合によりお受けできない場合もございます。)
※上記 銑Δ鬟僖好錙璽鰭佞のワードファイル(WORD2007以前のバージョン) またはpdfフ
ァイルとして添付していただいても構いません。パスワードは別メールにてお知らせください。

お茶の水女子大学学生・キャリア支援 准教授の公募
電子メールの場合は下記(ア)(イ)のとおり。
(ア)件名を「学生・キャリア支援センター准教授応募」とし、提出書類の(1)〜(9)については 1つのPDFファイルにまとめ、電子メールに添付すること。その際、パスワードを設定し、別メールでパスワードを通知すること。なお、ファイル容量は 25MBまでとする。ただし、提出書類の(9)が推薦状の場合には、推薦者が署名したものを推薦者自身が直接PDFファイルにて提出するよう依頼すること (上記に準じてパスワードを設定し、送信すること)。

|・ω・) 。o (ダメだ、多すぎて腹筋崩壊してしまう
IPAさん、ちゃんとパスワードを別メールで送っちゃダメですって太字で書いてください!)


メールの送受信でSSLを利用して暗号化する− @IT
(通信経路の盗聴について守るなら)メールの送受信でSSL利用するのが大切ですよね ・ω・
※送信者も受信者も利用する必要があります

追記:
誤送信防止に別メールにするという主張や説もありますが…。
別メールで送るにしても間隔がある程度ないと気付けなくてあまり意味ないですし。
添付ファイルにパスワードを付けるならば

・クラウドサービスにアップして、間違えたらリンク削除
(追記:この方法なら、一緒にパスワードを送信してもOK)
・ネット上のパスワードハッシュ発行サービスを使用して、間違えたらリンク削除
・相手しか知らないキーワードにする「例:あなたの携帯電話の番号と私の携帯電話の番号を連結したもの」


等にしないと『相手がまだ開いていなくて、こちらが気が付いたときにほぼ100%添付ファイルを見られないようにする』ことができなくてほとんど意味ないですよね。



blackwingcat at 08:30│Comments(23)TrackBack(0) | |
このエントリーをはてなブックマークに追加
Security | 小ネタ

Twitter Feedback

トラックバックURL

この記事へのコメント

1. Posted by anonymous   2015年03月11日 17:20
これやってるリテラシの低い会社よく見ますね
折角ファイルを暗号化したのにパスを平文で送るとかアホだなーとずっと思ってました
ちょっと前までメールのシステムは元々貧弱なリソースと悪人がいないことを前提に設計されたもので本当に大事なデータは送ってはいけないと指導されていたものですが、今は根拠なく信頼してる人がとても多いんですよね
2. Posted by yoka   2015年03月11日 17:36
そして、手で入力すると決まって閲覧できないと苦情が来るのです。
OCRなどの識字率が問題になったりしますが人間の識字率もかなり問題が…

後述のSMTPSについてはhttpsであったPOODLE脆弱性がそのまま残ってるのではないかと推測しますが、これはTLSに変えれば済む気はします。(サーバー側の対応もありますが)
POODLEはセッションハイジャックなのでこの件のメールの閲覧とはまた別次元ではあります。
3. Posted by クラスノヤルスク   2015年03月11日 21:53
PGPを使えば簡単に送受信できるのに
なぜ使わないんだろうか・・・
4. Posted by yoka   2015年03月11日 22:03
POODLE脆弱性はセッションハイジャックではなく盗聴です。訂正します。
5. Posted by 黒翼猫   2015年03月12日 08:46
少し違いますが、PGP がいわゆるS/MIMEの類になります・ω・
PGPは導入の手間がかかるため、あまり普及せず、
代わりにS/MIME がとってかわろうとしている感じですかね
6. Posted by 名無し   2015年03月12日 13:00
OpenPGP入れてるのですが、無意味ですかね?
7. Posted by 黒翼猫   2015年03月12日 13:50
OpenPGP入れてること自体は無意味じゃないですが、
その上で送信メールにパスワードかけて、別メールで送ってる行為があるなら、
後者の行為は無意味です。

8. Posted by ももぢ   2015年03月13日 12:52
ん〜
大企業ですと、
通信経路の盗聴による情報漏えいよりも、
重要なファイルを添付したメールのうっかり誤転送というヒューマンエラーのほうがはるかに起こりやすいんですよ。
というか実際に起きてるんです。


そのエラーを防ぐこと自体を避けられないので、
添付ファイルの暗号化とパスワードを別メールで送るという
次善策をとっとるんですわ。

それからね。
パスワードをメールで送るなって言われても、
送信先が一か所なら電話やFAXなりで送るのもありですが、
仕事では一度に何人にもメールでCCすることが多くてですね。
その全員にいちいち伝えるのは現実的に無理なんですよ。
すべては、費用対効果っちゅーことですわ。


9. Posted by M_M   2015年03月13日 12:52
自分のメーラーでSSL設定しても自分のメアドのあるメールサーバーとの間だけが暗号化されるて、そっから向こう側…メールサーバー間、メールサーバーと相手のメーラー間はどうなってんの?
と考えることは間違ってますか?
10. Posted by 黒翼猫   2015年03月13日 13:04
>自分のメーラーでSSL設定しても自分のメアドのあるメールサーバーとの間だけが暗号化されるて、そっから向こう側…メールサーバー間、メールサーバーと相手のメーラー間はどうなってんの?

はい、もちろん送信側と受信側で使う必要があります
11. Posted by うず   2015年03月13日 15:10
>そのエラーを防ぐこと自体を避けられないので、
>添付ファイルの暗号化とパスワードを別メールで送るという
>次善策をとっとるんですわ。

パスワードを送るときにわざわざメールアドレスを手入力で入れ直すならともかく、
たいていの場合添付ファイルを送ったメールのTo・Ccを使いまわすだろうから
添付ファイルを誤送信した先にパスワードも誤送信することになるだけで
次善策でもなんでもない気がするます…
12. Posted by s10   2015年03月13日 15:26
>添付ファイルを誤送信した先にパスワードも誤送信することになるだけで
>次善策でもなんでもない気がするます…

添付付きでの転送ですね。
偉い人 「おっ、なんか重要なデータが来ているが、技術的にわからないな! この言葉の意味を聞いてみよう」
よし、あいつに聞いてみようと、添付付きで転送。

ボク 「とっても重要な情報がパス無しのzipできて、困りますがな!!」
となります。
13. Posted by 13   2015年03月14日 08:18
10について

SSL通信はクライアントソフトとサーバの間の通信なので、サーバとサーバの間の通信までは保証されないです。
14. Posted by UK   2015年03月14日 16:22
どのように添付ファイルのメールとパスワードのメールを関連づけてスニッチできるか言った方がより効果的だと思います。
スニッチャーが予め宛先がわかっていないなら結構難しいと思いますよ。
15. Posted by あ   2015年03月14日 23:18
基本本当に重要なものはパスワードルールを決めとくぐらいで有って、ほとんどもれてもどーってことないようなものだけど暗号化しなければならないもので面倒だからメールで送っているだけ。
一日の世界中のメールの中ででどれだけ第三者にキャプチャーされているかって話でしょうね…たぶんわ
16. Posted by hamiru   2015年03月14日 23:48
情報が漏洩する心配よりも「こんなもん、漏洩しても誰も困らんよ」という内容のファイルにいちいち暗号が掛かってて、毎回解凍の手間がかかるのが腹立たしいです。

ひどいのになると、「ダウンロードして、.ex_を.exeにrenameして、実行して、パスワード入れて」からでないと読めない。
17. Posted by eg   2015年03月15日 00:47
添付ファイルを送る際に送信先をチェックしますし、パスワードを送る別メールの際にも送信先をチェックしますし、チェックが二重にかかることになるので何もしないよりはマシかと思います。技術者的にはざるな対応かも知れませんが、一般人が簡易的に行うセキュリティ行為としてある程度の意味はあると思います。無意味と言い切るには少々乱暴かと。自分も最初にこの手のメールを見た時は違和感を感じたのは事実ですけども。
18. Posted by 暇猫   2015年03月15日 13:02
top tierの外資系投資銀行で働いている友人もこの別メールでのパスワード送信やってました。曰く、二つメールを送ること(二つ目のメール送信前には宛先を今一度見直すこと前提)でご送信リスクを減らせるからだそうです。
盗聴リスクに関しては確かに仰る通り普通両方見られて終わりやん、てな感じですが、では企業実務において1日何百件ものメールをやり取りする中でいかに効率と各種リスクヘッジを両立させるか?という観点から見れば、あながち馬鹿に出来ないpracticalなやり方かと。
19. Posted by 名無しの権兵衛   2015年03月16日 12:12
機械的に奪うこと考えたら同じメールにパスワードが書いてある方が楽だわな
20. Posted by tda   2015年03月17日 02:06
SSLでは、メールサーバ間は保証されないのでは?
21. Posted by 黒翼猫   2015年03月17日 11:27
メールサーバー間も結局SMTP通信なので、
そこでSSL暗号使っていれば暗号化されますが、
サポートしていなければ保証されないということになります。
一般ユーザーには暗号化されてるか分からないのでPGPやS/MIME の方が確実ですが
最近はサーバーのSSL化が進んでるため、近い将来保証される日が来るかもしれません。
22. Posted by 通りすがり   2015年10月01日 11:37
重要なデータをメールで送信しないって意見には賛同できるけど、別メールにパスワードを書いて送信する方式が、言うほど簡単に盗聴できるのだろうか?
メールサーバやメールを利用している個人のアカウントとパスワードが漏れているなら確かに簡単にデータが見れる。だが、パスワードが漏れている事が前提なら、どんなセキュアな方式でも駄目でしょう。
公共のルーターなどは膨大なデータが流れる。ルーターをハッキングし、パケットダンプしたデータを元に特定のファイルを再現。別メールで送られたパスワードでファイルを開くって相当大変なんじゃない?そう考えたらパケットダンプした時に平文でデータが残らないだけで十分意味がありそうな気がするけど。スレ主はどういう方法でデータを抜き取る事を考えてるんだろう?
23. Posted by 名無し   2016年04月07日 23:35
>(通信経路の盗聴について守るなら)メールの送受信でSSL利用するのが大切ですよね ・ω・

相手方がこの設定をしていてもメールサーバー間は暗号化されていません。
これはメールサーバーを不正利用されない為の設定です。
メールで機密文章を送るための為の設定ではありません。

パスワードは次のメールでを初めて目にしたときは誰か突っ込みを入れないのかと思いましたが、何故か誰も突っ込みません。。。

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation