パスワードzip問題

政府が政府職員による「パスワード付きzipファイル」の送信を廃止するみたいですが、着々とデジタル改革が進んでいるようですね。今回の件は政府の「デジタル改革アイデアボックス」に投稿された意見を採用されたものらしいですが、他にもアイデアはたくさんあると思います。無駄を省いたり予算を下げられるアイデアも多いと思うので、もっともっと色々な声を聞き入れてどんどん改革をしていって欲しいものです。

で、今回の「パスワード付きzipファイル」は何故ダメなのかというと…そもそもセキュリティが甘いからです。（というか、意味がない。） zipファイルの構造自体のセキュリティの甘さもそうですが、使う人のセキュリティ能力の甘さもそうですね。

「パスワード付きzipファイル」をメールで送って、次のメールでその「パスワード」を記載したメールを送る…こんなアホな行為がまかり通っているんです。そもそも添付ファイル（パスワード付きzipファイル）を入手できるような状況ってことはメールの中身が筒抜けってことですから、当然パスワードも筒抜け（意味がない）って話になります。（TELとかFAXとか別手段でパスワードを伝えればいいんでしょうけど、それも手間のかかる話です。）

それよりも問題なのは、「パスワード付きzipファイル は、そもそもメールスキャンの対象外にされてしまう（場合がある）」ってことです。セキュリティソフトが行う、メールのスキャニングをすりぬけるってことですね。パスワードがあることでzipファイルを解凍できず、中身のスキャンができない…スルーされてしまうって話です。で、その場合、そこを突いたウイルス攻撃の手段にされてしまう可能性が出てくるんですよね。

まぁですから、セキュリティスキャンがかかることを前提で言えば、圧縮ファイルにはパスワードをかけずに添付した方が安全率が高まると言えますね。少なくともスキャンはしてもらえますから。

弊社の取引先でも未だに「パスワード付きzipファイル」で送ってくるところがありますが、こういう「二度手間」になり、かつ「セキュリティリスクが高まる」ようなことは、どんどん止めていった方がいいと思います。