情報セキュリティ意識が高まってきていることは歓迎すべきことであるが,誤った対策が広まってしまっているケースもある。メールの添付ファイルを暗号化するまではよいのだが,問題はそのパスワードの受け渡し方法がかなり杜撰なのである。後から同じメールで送られてくるケースが非常に多い。これはむしろ危険なのでやめてもらいたい。
まず,添付ファイルが暗号化されていると,PCのセキュリティソフトが機能しなくなる。メールサーバ上で稼働しているセキュリティソフトの場合は,マルウェア等を検知するとサーバ上でそのメールを削除してくれるので,PCの危険を軽減できる。暗号化されたファイルがメールに添付されていた場合,これらをすり抜けてしまう。そして,運がよければ,復号した瞬間に検知されることになる。運が悪ければ,マルウェアの餌食となる。
もう一つは,パスワードが盗まれる危険があることだ。暗号化されたファイルを盗まれ,かつ,パスワードも盗まれては暗号化した意味がまったくない。同じメールアドレス同士であれば,ずっとその間のやり取りを盗聴していれば,暗号化されたファイルと復号のためのパスワードを両方とも窃取できる。
安全なのは,メール以外の方法でパスワードを受け渡すことである。SMS,チャット,電話,FAX,郵便など,他の手段でパスワードを通知すれば,かなりリスクを低減できる。公開鍵暗号方式を用いるのがよりよい方法ではあるが,そこまでするほど秘匿性が高くない場合には有効な方法だろう。
JY情報システムズ 