【意味ない】メールでパスワード付きzipとパスワードを別々に送るの、もうやめません?

メールイメージ

社会人をやっていると「 それ意味あるの? 」と驚くような謎ルールがたくさんあります。

なかでも地味に面倒なのが、「 ファイルを送るときはパスワード付きzipフォルダに入れてメールして、パスワードは別メールでお知らせ 」ってヤツ。

セキュリティ対策としてのルールらしい。しかし、「 あー、仕事しなきゃ 」って気の重いときに、頂いた素材を見るためにいちいちメールを二つ開いてパスワードコピペして……と余計な手数が増えるのは本当にイヤ。

私がイヤなだけならガマンすればいいんです。でも、残念なことにこの謎ルールはセキュリティ的にも大して意味がありません。

ジージャンにジーパンで合わせた全身デニム男くらい残念なので、ぜひやめていただきたい。

メールでパスワード付きzipでを送る意味って……?

そんなルール知らない、って方のために一応解説すると、メールでファイル添付して送るときのパスワード付きzip謎ルール、基本的にこんな感じです。

  • ファイルをパスワード付きzipに格納、メールにつけて送信
  • zipファイルを添付したメールとは別に、パスワードが書かれたメールを送る

いわく、「 これでもしハッキングされてメールが漏洩していてもファイルは無事! 」って理屈らしい。

いや待て待て。送信メールを見れるレベルでセキュリティ突破されたら、パスワードのメールも一緒にもれてるから。

なんで一通しか漏れない前提なんだ。泥棒が金庫の中身に手を付けないで鍵だけ盗むわけがない。

後述しますけど、多分ファイルとパスワードを分割して知らせる方法ってもともとはこの形じゃなかったと思うんですよね。

一応、この方法でもメールの宛先を間違えて誤送信したとき、どちらか一方を間違えただけであれば実害なく済むメリットはあります。

(結局コピペで両方とも間違った宛先に送りそうだけど)

が、基本的なセキュリティ面ではほとんど無意味と思っていいでしょう。

解決方法:もともとはこんな感じだった?

上記のように、メールに添付するファイルをパスワード付きzipフォルダに入れて送り、別メールでパスワードをほとんど無意味です。

革ジャンに革パンの全身革男(しかも本革じゃなくて合皮の)くらい残念だから一刻も早くやめてください。

一応、パスワード付きzipフォルダにファイルを格納して添付する方法で、セキュリティ性を担保できるやり方もあります。

  • 従来通りパスワード付きzipファイルを送る
  • パスワードは電話など別の方法で知らせる

要はメールが漏れていてもパスワードを知られないように、パスワードはメール以外の方法でやろうって話。電話でも手紙でも伝書鳩でもいいです。

とにかくパスワードはメール以外で知らせれば、万一メールがもれてもパスワードがわからないのでzipフォルダを開けないってわけです。

恐らくですが、パスワードは別メールで送るって謎ルールももともとはこの方法だったのをどこかの全身デニム野郎が意味もわからず「 電話するのメンドクサイからパスワードもメールで送ればいいじゃん 」といらんアレンジを入れてしまったのでしょう。

そして、パスワードもメールで送る無意味な方法が広待ってしまったものと思われます。

パスワード付きzipはセキュリティチェックが難しい

信頼できる相手ならともかく、見知らぬ相手から送られたパスワード付きzipファイルは絶対に開かないようにしましょう。

(zipファイルに限ったことではありませんが)

多くのアンチウィルスソフト、セキュリティシステムはメール受信時に添付ファイルをチェックし、危険ファイルの場合は自動的に対処したり警告を促してくれる機能が備わっています。

しかし、パスワード付きzipファイルはパスワード保護されているためにセキュリティシステムやソフトが中身を覗けず、スルーされてしまうことがあります。

悪意あるハッカーがセキュリティシステムを回避する方法としてパスワード付きzipファイルを使う手法は別段新しいものではなく、かなり以前から使われています。

実際にパスワード付きzipフォルダに格納して送られたファイルを開いたために企業の社内ネットワークがウィルス・マルウェアに汚染された事例もたくさんあります。

zipファイルに限ったことではありませんが、zipファイルはセキュリティソフトも素通りする可能性が高いもの。

メールで受け取ったファイルを開くときは特に送信者が信頼のおける相手か要注意です。(送信者の偽装にも注意したいところ)

まとめ:パスワード付きzipとパスワードを別々にメールするのはほぼ意味なし!

  • zipファイルとパスワードを別々のメールで送ったところで片方もれる状況ではもう片方も漏れるのでセキュリティ上意味ない
  • 一応、アドレスを間違えての誤送信を防ぐ意味では多少は役に立つかもしれない程度
  • どうしても漏洩・セキュリティが気になる場合、パスワードは電話などメール以外の方法で知らせれば無意味ではない

私もとある取引先がこのルールで、メールで素材やファイルなどをいただくたびに「 無駄な手数増やしやがってぇぇええええ! 」とプチギレしながらパスワードをコピペ → 解凍展開しています。

が、取引先の会社のルールだし仕方なしと諦めている。やってるフリでしかないけれど、IS027001とかISMSとかセキュリティ資格欲しさにやってるんだったらやめられないでしょうし。

取引先のルールにまで口を出す情熱は私にはありません。私は諦めました。僕は負けた、負けたよばっちゃん。

おとなになるって、あきらめることなんだよ。ばっちゃんが言ってたあの言葉が働きはじめてから骨身にしみているよ。(ばっちゃんそんなこと言ってないけど)