連載
» 2020年11月24日 07時00分 公開

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか半径300メートルのIT

政府や企業が相次いで、メール送信時における「パスワード付きZIPファイルの添付」の廃止を検討しています。パスワード付きZIPファイルの添付をなんとなく「悪いこと」とは理解しつつも、厳密に「何が悪いのか」が分からない方に向け、理由を説明します。

[宮田健,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。

 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。

 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。

freeeはいち早くパスワード付き添付ファイルの受信廃止を表明した

 プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール添付のファイル送信について」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。

 ところで、世論の動向を受けてパスワード付きZIPファイルの添付をなんとなく「悪いこと」であるとは理解しつつも、厳密に「何が悪いのか」を説明できる人は少ないように思えます。セキュリティは対策手法だけでなく「なぜその方法が有効か」を学ぶことが重要です。本稿でパスワード付きZIPファイルの添付をやめる意味を考えてみましょう。

パスワード付きZIPファイルは無意味? 3つの理由を説明

 当たり前ですがパスワード付きZIPファイルは、パスワードがなければ開けないため、パスワードを知られなければ誰にも見られません。しかしWindowsでパスワード付きZIPをダブルクリックすると、パスワードなしでディレクトリ構造やファイル名を確認できます。この点だけでもパスワード付きZIPファイルは、完全な「暗号化」ではないと理解できると思います。

暗号化ZIPファイルの中にあるディレクトリ構造やファイル名は確認できてしまう

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ