« [.NET] Visual Studio のエディタでカーソル行を反転表示 ~ SlickEdit Gadgets | トップページ | [.NET] フィードバック - [LINQ to SQL] 自動生成された SQL 文が不適切なために、 例外が発生することがある »

2009年2月12日 (木)

暗号化したつもり、 パスワード付き ZIP ファイル添付のメール

セキュリティホール memo 経由、 ITpro

メールのセキュリティ, 送信ドメイン認証の採用は 5%, 暗号化は ZIP 方式が浸透中
(日川 佳三=ITpro) [2009/01/29]

公開鍵/秘密鍵による電子署名機能は持たないものの, ZIP 暗号化などの手法は, S/MIME や PGP と同等の認知度で, 暗号化メールの代表格に上り詰めた感がある。

いや、 日本においては、 これはまったく私の感覚なんだけれど、 ZIP 暗号化はもっと多いんじゃないかしらん。
アンケートの設問が不明なのでなんとも言えんけど、 「メールを暗号化していますか?」 という設問だったら、  添付ファイルだけを ZIP 暗号化していても、 私なら 「No」 と答えますもん。

復号に必要なパスワードを別のメールで後追い送信する, あるいは, 暗号化ファイルと同じメールに復号パスワードを平文で書いておく。 こうした, 以前であれば 「意味が無い」 で一蹴してしまうような使い方も, 現代では確実に需要がある。 「メールを暗号化するルールになっている。 セキュリティ上の危険性は気にしない。 手軽に使える製品がいい」 という需要を満たすことができるからだ。

パスワードをメールで送ってしまうバカバカしさは、 そのとおり。 なんかもうね、 Web サイトの 「ノーガード戦法」 を思い出しますよ。

しかし、 この記事には、 それ以前の問題が書かれていない。
1. ZIP の暗号化強度は ( たいてい ) 弱すぎる
2. ( たいてい ) パスワードを固定している

1. ZIP の暗号化でも、 パスワードを 200文字とかに長くすれば、 解読に相当な時間が掛ると思いますが、 数桁程度では簡単に解読できてしまいます。
解読のためのツールは、 有償や無償で配布されていて、 例えば電話番号を使っているなと推定できる ( 数字 10~11桁 ) 場合だと、 数分で解読出来てしまいます。

2. 暗号化するごとにパスワードを変えなければ、 ひとつ解読されたら最後、 その前後のメールの添付ファイルも全部、 暗号化解除できるわけです。 そんなあたりまえのことにも気付かないんでしょうか、 そういう運用のところを多く見かけます。 というか、 「××の電話番号で」 って言った瞬間に、 固定ですわなw

で。
まったくの気休めでしかないのに、 やらされる社員は手間を喰ってかなわんわけですよ。 平文で伝わる内容ですら、 Excel ( これがまたなぜか Word じゃないんだなwww ) のファイルにして送らにゃならんし。 受信したら、 いちいち ZIP ファイルを解凍しないと内容が読めんし。
# そんなメールを日に何十通も受け取るとしたら …さて問題です。 そのうち何通が読まれるでしょう? (w

気休めのために生産性を落とす愚行、 なぜ採用する経営者が多いのか… 謎ですw


( 追記 )
ぁあ、 そーか。 Windows が zip 圧縮/展開をサポートしちまったのが悪いんだ! (w

|

« [.NET] Visual Studio のエディタでカーソル行を反転表示 ~ SlickEdit Gadgets | トップページ | [.NET] フィードバック - [LINQ to SQL] 自動生成された SQL 文が不適切なために、 例外が発生することがある »

日記・コラム・つぶやき」カテゴリの記事

PC・インターネット」カテゴリの記事

コメント

この記事へのコメントは終了しました。

トラックバック


この記事へのトラックバック一覧です: 暗号化したつもり、 パスワード付き ZIP ファイル添付のメール:

« [.NET] Visual Studio のエディタでカーソル行を反転表示 ~ SlickEdit Gadgets | トップページ | [.NET] フィードバック - [LINQ to SQL] 自動生成された SQL 文が不適切なために、 例外が発生することがある »