最近,電子メールの添付ファイルにパスワードが設定されていることが多い。社外の寄稿者が原稿などを送ってくるメールである。WordなどのOffice製品が備えるパスワード,ZIPといった圧縮ソフトのパスワード,暗号化専用ソフトのパスワードを設定してある。パスワードを入力すること自体,大して手間がかかることではないのだが,“余計な手間”と思うためか面倒である。送ってくる寄稿者のほうも恐縮している場合がほとんどだ。会社のポリシーであり,パスワードを設定しなければ送れないという。
「仕方がないこと」と思いながら,添付ファイルにパスワードに意味があるのかをつらつらと考えてみることがある。
ファイルにパスワードをかけるのは,言うまでもなく「もしそのファイルが第三者に渡ったとしても,内容を見られないようにする」のが目的である。では,そのファイルが第三者が入手されるのはどのような場合なのだろうか?
パスワードもネットで・・・
パスワードがかけられた状態にあるのは,送信者と受信者の間のネットワーク上である。この間での盗難に対する防御策ということだ。双方のシステム管理者はもちろん,社員でもメールを盗み見ることは可能である。インターネット上でも,盗み見られる可能性は否定できない。危険性は低い気がするが,だからといって放っておいていいとは言えないのがセキュリティ。ここは納得するしかない。
しかし,パスワードもメールで送られてくるので,納得する気が薄れる。たいてい,パスワード設定ファイルを添付したメールの本文にパスワードが記してある。パスワードを別のメールで送ってくる場合もあるが,メールはメールである。インターネット上で盗まれる恐れがあるという前提に立てば,パスワードもメールで送ったのではセキュリティが大幅に低下する。もっとも,パスワードを電話やFAXで伝えるとなると不便になるため,それも困る。
パスワードを盗まれなかったとしても,たかがパスワードである。いわゆる辞書アタックをすれば,解凍(解読)は時間の問題だ。実際に設定してあるパスワードの多くは,意味を持つ比較的短い英数字である。辞書アタックに都合がよい。WordやExcelなどは,パスワードを忘れた人向けに,マクロで組んだ辞書アタック・ツールが出回っている。有料のツールやサービスもある。
また,添付ファイルにパスワードを設定してあると,メール・サーバー側やプロバイダ側でのウイルス検出機能が働かない。別のセキュリティの低下につながる。
返信するファイルはパスワードが必要?
寄稿者からもらった原稿に手を入れ,確認のため送り返すというのが通常の手順。返信する場合,パスワードを設定しなくてもいいのだろうか,と寄稿者に確認する。
ほとんどの場合,「いえ,結構です」という返事。インターネット上で盗まれることを前提とするなら,行きも帰りも同じである。もっとも,社外の人にパスワードをかけてくれ,暗号化してくれなどとは言いにくいのだろう。片道だけでも,パスワードを設定しないよりはマシである。しかし,その程度のことならば,最初からパスワードを設定しなくてもいいのでは,とつい思ってしまう。
翻って,こちらから送るときに添付ファイルにパスワードを設定しなくていいのか,と考えることもある。セキュリティを考えれば,設定したほうがいい,となる。しかし,筆者自身が感じるパスワード入力の煩わしさを考えるとちゅうちょする。さらに,送り返してもらう場合にパスワードを設定してくれ,とは言いにくい。その辺は理解してもらったとしても,相手もパスワードを設定できるように,と考えるといい方法がない。
WordやExcelのパスワードならば,Officeアプリケーションを持っていれば使えるが,セキュリティ上,心配である。とすると,専用ソフトを使うしかない。
考えすぎかもしれないが,こちらから送るときだけパスワードを設定して,相手から送るときはパスワードは不要とすると別の心配が出てくる。というのは,ファイルの中身が漏れることを防ぐのが目的ではなく,漏れたときに「パスワードを設定して送っている」という言い訳のための措置と思われないか,ということだ。
そもそもメールの本文はそのままでいいのか。通常,本文には添付ファイルに関連することを書く。本文のほうが,機密性が高いことだってある。添付ファイルだけパスワードを設定することに意味があるのだろうか。
となると,やはりS/MIME(Secure Multipurpose Internet Mail Extensions)やPGP(Pretty Good Privacy)のようなメールそのものを暗号化する技術を使うしかない。個人情報やセキュリティについて敏感になっているのに,なかなか普及しそうにない。添付ファイルにパスワードを設定する意味はあるのだろうか。
