形骸化したルールはセキュリティを破壊し、弱体化する

 依然として、セキュリティインシデントの多くは、メールに端を発するものである。zip ファイルが添付されたメールから始めることが多い。 現在、よく行われているファイルをzipで圧縮アーカイブし、パスワードを付けてメールで送付する方法、これがなぜ行われているのか、そしてこれがいかに有害なものになったのかを、1つずつ考えてみる。

ファイルをメールに添付するというのは、MIME (Multipurpose Internet Mail Extension, RFC2045, 2046, 2047) が規定されて以降行われるようになったものだ。このうち、RFC2047は、メールヘッダに Non-ASCII テキストを入れるためのもので、メールのSubjectに日本語を入れるために使用されている。メール本文については、2045, 2046 である。要点は、画像などのバイナリファイルなどを ASCII テキストにエンコーディングする方法と、そのファイルがどのようなものであるかという情報を付記して、受信した後、簡便に再生できるようにしている。

さて、RFC2046で規定された Content-type は、次第に拡大され、さまざまなファイルを扱えるものになった。これ自体は悪いことではない。別の章で述べるようにメールの到達性だけがインターネット普及の第一段階であり、今のように、IP接続が普及し、Web やファイル転送が気軽でできるようになる前には、メールだけでなんでもできるようにサービスを構築している時代もあった。

メールでファイルを送ることができるようになったと言っても、そんなに大きなファイルを送れるわけではない。最近は、1通の容量が数メガバイトまで許容するようになったが、50キロバイト、100キロバイトという時代もあった。そのため、ファイルを圧縮して送るという方法がとられるというのは必然ともいえる。圧縮方法には、さまざまなものがあるが、Windows でも標準になったこともあり、zip が選択されるようになった。

メールでファイルを送ると情報が洩れるのではないか、あるいはアドレスを間違っていて、別の人に送られてしまっては困る、ということがあり、パスワードを付けるという手法が使われるようになった。このパスワード付zip というのは、秘密鍵暗号であって、パスワードという秘密鍵で暗号化されているので、漏えいという問題を防ぐかんたんな手段である。Microsoft Officeや、PDF にもパスワードを付けて文書を保護する機能があり、秘密を管理する点ではこちらが望ましいと思われるのだが、zip にパスワードを付けるのは、複数のファイルを束ねて、圧縮してサイズを小さくするという機能があるため望ましいと考えられたことと、この方法は秘密を守るためではなく、誤送信のリスクに対応するためと思われる。

さて、問題はこのパスワードを相手に伝える手段である。パスワードが漏えいしてしまっては、全く意味をなさない。したがって、このパスワードを安全に相手に伝えなければならない。おそらく、これが使われるようになった当初は、パスワードは電話で伝えるとか、あらかじめ決めておいたパスワードを使うという運用をしていたと思う。 しかし、そのうち、このパスワードもメールで送るというようになる。さて、メールで送っても問題ないのだろうか?メールが途中で見られている場合、これはパスワードも漏えいすることになり、無力になる。したがって、メールが途中で他人に見られているリスクを想定するなら、当然メールでパスワードを送ってはいけない。最近は、そういうリスクはあまり考えなくなったようではあるが、では誤送信に対してはどうだろうか?誤送信による漏えいリスクを防ぐのであれば、相手から受信確認があったら、パスワードを送ればよい。いわば、3ウエイハンドシェイクで、「送りました」→「受け取りました」→「はい、これがパスワードです」というやり方だ。これを確実に行えば、誤送信による漏えいリスクはなくせる。

パスワード付zipを使う場合で、セキュリティ的に意味をなすのはここまでだろう。 さて、ところが最近は、この送達確認なんかまったく行うことなく、パスワードを送ることが一般化している。パスワードは別のメールで送ります、というメールがきて、直後にパスワードが送られてくる。さらにひどいことに、ファイルを送信するのに、このパスワード付zipを作成し、パスワードを送るというのを自動化しているシステムまである。 自動化するなら、相手に開封確認を求めるようにして、開封確認が来たらパスワードを送るところまで自動化すればよい。しかし、そんな「かったるい」ことは行われない。開封確認は無視されることも多いし、なにより「かったるい」わけだ。

そうすると、この方法は目的とする要求を全く満たしていないことに気づくだろう。 そうなってくると、パスワード付zipの有害性が大きくなる。パスワード付zipは秘密鍵暗号であると書いた通り、これはパスワードがなければ中身を見ることができない。中にどのような有害なコンピュータウィルスが入っていても、ウィルスチェックプログラムで発見することはできない。

メールの普及に伴って、起こった問題はマルウエアの拡散である。マルウエアは、コンピュータウィルスを含む有害なソフトウエアの総称であるが、いわゆる迷惑メール、Spamメールと並んで、大量のメールが送信されている。

MIME の仕組みによって、ファイルを一緒にメールで送るようできるようになった。しかし、実行形式のファイルはメールソフトで初期にブロックされるようになったので、これを何らかのエンコーディングをすることが行われる。そこで使われるようになったのが、一般に使われるようになったzip である。したがって、zip 添付ファイル付きのメールが大量に送られてくるようになった。パスワードが付いているかどうかは、開いてみるまで分からない。パスワードが付いていなければ、ウィルスチェックプログラムで中身をスキャンできるので、検出できれば排除してくれるが、ウィルスの多様化で、検出率は下がる傾向にある。

ただ、用もないのにわけのわからないメールが来て、zip ファイルを開くか?ということについては、開いてはいけないという教育が行き届いていればともかくとして、人間心理としては、なんだろうと思って開いてしまう。そこにプログラムが入っていれば、クリックしてしまう。さらに最近は、巧妙に本文で開くように誘導するようにしている。その最たるものが、「標的型メール」で、受信者の行動に関する情報に基づき、あたかも業務上のメールであり、それを開くのが必要であると思わせるわけである。

最近は無差別型のメールでも、非常に巧妙な日本語のメールが増えてきており、国内の非合法勢力の関与が増えていることをうかがわせる状況になってきた感がある。無差別型の場合には、ウィルス検出プログラムで一定量は排除できるし、Gmail や、Office365ではこれらが通過することはほとんどないと言ってもよい。

このような状況で、どのような対策が望ましいかであるが、すくなくともパスワード付zipは有害であり、使用をやめるべきである。その上で根本的に添付ファイル付きのメールを排除することが望ましい。MIME という技術を捨てることにつながるが、いまや Web でさまざまなサービスが提供されるようになり、それは時代の趨勢であると考えてやむなしではないだろか?Gmail や、Office365 などの大規模なメールサービスを活用すると、無差別攻撃型の有害なメールを受け取ることはまずないが、巧妙な標的型メールを防ぐことはできない。

かつては、メール添付でファイルを送信していたサービスも、現在はメンバーシップ型の Web サービスを提供し、ファイルはそこでそれぞれのユーザに提供することが一般的になった。メール添付で、Invoiceや、請求書、領収書が送られてくるということはほとんどなくなり、ログインして確認するというスタイルになっている。自分で、振り返って確認してみるとよいだろう。

添付ファイルを送る代わりにWebサーバにファイルを一旦アップロードして、URLを通知してダウンロードするサービスが登場した。当初は、大きなサイズのメールを送ることができなかったために利用された。今でも企業独自でそうしたサーバを設置していることは少なからず存在する。

しかし、これは一見合理的に見えるが、同じようにルールとして定められると情報管理の点では、簡単に形骸化するリスクをはらんでいる。もちろん添付ファイルによるマルウエアなどの最低限のリスクに対しては、アップロードしたサーバでチェックを行うことにより避けられる。しかし、だれにその情報を開示したのかの管理をどのように行うかが問題となり、これは対策を上に重ねているだけで、コストも手間も減ることはない。したがってこうしたサービスへのアップロード利用を禁じている企業も多い。業務全体の中で、情報、ファイルの取り扱い方法を改め、業務の効率化に資する改革に取り組むべきである。その中で、ストレージに求める機能、ユーザインターフェースを判断すべきであろう。

クラウドストレージを有効に活用することが一つの鍵となることが確かである。Microsoft の OneDrive は、Windows 10 では OS に一体化されて標準となった。企業でも Office365 サービスの利用が増えているので、OneDrive の利用は Windows ユーザにとっての大きな選択肢だ。さらに Google ドライブ、Amazon Cloud Drive、この分野では老舗的な Dropbox、最近法人向けで伸びている Box などがある。また、国内でもNTTも提供しているし、TIWC VDRにもその機能がある。

これらのサービスを有効に利用するためには、まずファイルを安易にコピーするという習慣の意識改革、資料を印刷して配布するような習慣を改める業務改革が必要である。情報を管理するためには、安易にコピーを行わず、適切に共有システムを活用し、アクセス履歴、変更履歴を管理するべきである。クラウドサービスを利用する場合には、そうした機能の活用が重要である。その上で、大型のタブレットなどを活用するなどして、紙の資料をなくすようにすることに取り組む必要がある。

ちなみに従来のネットワークドライブ型のファイルサーバは全く無意味であるので、この目的には使えない。ローカルディスクと同じように使えるものは、ローカルディスクと同じリスクももっている。クラウドストレージの場合、一般的に、https を転送プロトコルに用いる API によって提供される。OneDrive (企業向け) の場合には、実体は Sharepoint サーバで、Office と一体的な運用が可能であり、Web アクセスによって、縦覧的な管理を行う。企業でどうしてもオンプレミス型の運用が必要であれば、Sharepoint サーバで同様のサービスを構築することができる。このあたりが、Microsoft がソフトウエアベンダーでもあるメリットだろう。

しかし、一般のユーザ、小規模な企業ではクラウド利用だけで十分であるので、自分の目的にあったサービスを活用することがよいだろう。

さらに、セキュリティを高めたい場合には、Rights Management という仕組みを利用することができる。これは、Microsoft Officeのファイルや、PDF にパスワードをつけて暗号化するという機能をさらに高度にしたものと理解してもよい。これは、zip のパスワードと同じで秘密鍵暗号なのだが、Rights Management では、さらに認証をサーバで行い、パスワードを管理する。これを利用するためには、ユーザ管理が必要なので、原則企業内のサーバである必要がある。このシステムのメリットは、コピーしたファイルにも後追いでも権限の変更をすることができるというもので、サーバ側で送信者(所有者)がアクセス権限を変更することができる。受信者(閲覧者)は、ファイルを開く際に認証が行われるために、その時点での最新のアクセス権限が反映されるというメリットがある。企業向け Office 365 (Enterprise E3以上)で利用できるようになり、企業内認証基盤だけでなく、クラウドでも利用できるようになり、異なる企業間でも利用できるだろう。

重要なのは、今行っていることが、なんのために行っているのかを、問い直すことと、今までの業務フローでそうだからやむを得ないという意識から、踏み込んで改革を行う姿勢を持つことである。

どんなに工夫したところで、対策を上積みするのでは、コストは徐々に増えていく。これを排除するのは、革新でしかない。それによって、強い組織、体制を作っていくべきである。

最終更新日: $Date: 2016-12-03 20:51:10+09 $

Copyright (c) 2008-2010 by Shin Yoshimura. All rights reserved.