最近、政府や企業でメールによるパスワード付きZIPファイルの送受信を廃止する動きが出ている。
そもそもZIPファイルというのはどういうものなのか?
ファイル圧縮技術は、1980年代にパソコン通信が発達してきた時に、ファイル(複数も)を圧縮して送ることで通信量を少なくすることが目的で、考え出されたものだ。当時は日本人考案のLHAなどが主流だったが、結局そのノウハウなども吸収したZIPが主流になっていく。その過程で、ファイルを圧縮するだけでなく、パスワードを使って暗号化するという機能が追加された。この機能を使うことで、パスワードを知らないと、その圧縮されたファイルをもとに戻せないようになった。
まあ、このファイル圧縮の話をしていくと、一冊の本になるくらいなので、このへんでその話はおいておく。
いずれにせよ、ZIP方式でファイルが圧縮されて入っているファイルをZIPファイルと呼ぶ。パスワードが付与されていると、ファイルを解凍する(元のファイルを取り出す)には、パスワードが必要だ。ということは、パスワードを知っている人しかそのZIPファイルを解凍することが出来ない。したがって、パスワードを知っている人は、そのファイルを見ることができるのだが、知らない人は見ることが出来ない。
そこで機密文書をパスワード付きZIPファイルで送ることが行われるようになった。間違った人に送付しても、パスワードが分からないとその機密文書を見ることが出来ない。
ところがこれは、政府や企業のメールシステムにとって、逆にセキュリティ上問題になってきたということだ。セキュリティを高めるために使っていたが、それが逆にセキュリティを弱める可能性があることがわかってきた。
本来なら、外部から情報を受け取り、外部に情報を流すメールに関しては、その情報が受け取って良いものか、悪いものか、送り出して良いものか、悪いものか、それを政府なり、企業なりのメールシステムで確認しないといけない。
ところが、パスワード付きZIPファイルでファイルを送受信されると、そのファイルが受け取って良いものか、送り出して良いものか、メールシステムは判断できない。パスワードが付いているので、そのパスワードを知らないメールシステムはファイルを簡単に見ることが出来ないのだから。
特に送ってきたZIPファイルにマルウェアなどの危険なアプリが含まれていたとしても、それをチェックできない。これが政府なり企業などで問題視されていることだ。
では、それに対応するにはどうしたらよいか?
ある特定のメールアドレスから、ある特定の時間に送受信されるメールには、ZIPファイルの添付を許すというのは、完全な方法ではないが、今までよりも改善されるはずである。
ただし、こうしたセキュリティ機能をメールシステムに追加すると、その分メールシステムに負荷がかかることになるので、やりすぎるのは良くない。つまりなかなかいい方法が見つからないということである。
余談だが、世間ではパスワード付きZIPファイルは、簡単にパスワードが見つかり、回答されてしまうという話が出回っているが、実際にはそう簡単ではない。当然、5,6桁のパスワードでは簡単に破られてしまうが、20桁くらいの長いパスワードを使っていると、それを見つけ出すのは大変な時間がかかる。もちろん、パスワード付きZIPファイルを強引に解凍するアプリが世の中に出回っており、複数台のパソコンを使用して、パスワードを探し出すといった方法も取られているようだが、良いアプリはないと言って良い。量子コンピュータが出来たなら、即座に見破られるかも知れないが。
0 件のコメント:
コメントを投稿