【意味ない】メールでパスワード付きzipとパスワードを別々に送るの、もうやめません?

2019年5月17日

メールイメージ

社会人をやっていると「 それ意味あるの? 」と驚くような謎ルールがたくさんあります。

なかでも地味に面倒なのが、「 ファイルを送るときはパスワード付きzipフォルダに入れてメールして、パスワードは別メールでお知らせ 」ってヤツ。

セキュリティ対策としてのルールらしい。しかし、「 あー、仕事しなきゃ 」って気の重いときに、頂いた素材を見るためにいちいちメールを二つ開いてパスワードコピペして……と余計な手数が増えるのは本当にイヤ。

私がイヤなだけならガマンすればいいんです。でも、残念なことにこの謎ルールはセキュリティ的にも大して意味がありません。

ジージャンにジーパンで合わせた全身デニム男くらい残念なので、ぜひやめていただきたい。

メールでパスワード付きzipでを送る意味って……?

そんなルール知らない、って方のために一応解説すると、メールでファイル添付して送るときのパスワード付きzip謎ルール、基本的にこんな感じです。

  • ファイルをパスワード付きzipに格納、メールにつけて送信
  • zipファイルを添付したメールとは別に、パスワードが書かれたメールを送る

いわく、「 やった!これでハッキングされてメールが漏洩していてもファイルは開けないから無事だぞう! 」って理屈らしい。

いや待て待て。メールを見られるレベルでセキュリティ突破されたら、パスワードのメールも一緒にもれてるから。

なんで一通しか漏れない前提なんだ。泥棒が鍵だけ盗むわけがない。

一応、この方法でもメールの宛先を間違えて誤送信したとき、どちらか一方を間違えただけであれば実害なく済むメリットはあります。

(結局コピペで両方とも間違った宛先に送りそうだけど)

が、基本的なセキュリティ面ではほとんど無意味と思っていいでしょう。

解決方法:もともとはこんな感じだった?

上記の通り、メールに添付するファイルをパスワード付きzipフォルダに入れて送ってパスワードは別メールで送る、って手法はほとんど無意味です。

革ジャンに革パンの全身革男(しかも合皮)くらい残念だから一刻も早くやめていただきたい。

一応、パスワード付きzipフォルダにファイルを格納して添付する方法で、セキュリティ性を担保できるやり方もあります。

  • 従来通りパスワード付きzipファイルを送る
  • パスワードは電話などメール以外の方法で知らせる

要はメールが漏れてもパスワードを知られないように、パスワードはメール以外の方法でやろうって話。電話でも手紙でも伝書鳩でもいいです。クルックー。

とにかくパスワードはメール以外で知らせれば、万一メールがもれてもパスワードがわからずzipフォルダを開けないってわけです。

恐らくパスワードは別メールで送るって謎ルールも、もともとはこの方法だったのでしょう。

しかしどこかの全身デニム野郎が意味もわからず「 電話するのメンドクサイからパスワードもメールで送ればいいじゃん 」といらんアレンジを入れてしまったのではないでしょうか。

おめーは余計なことしてないで伝書鳩の世話でもしてろ!!

そして、パスワードもメールで送る無意味な方法が広まってしまったものと思われます。

パスワード付きzipはセキュリティチェックが難しい

信頼できる相手ならともかく、見知らぬ相手から送られたパスワード付きzipファイルは絶対に開かないようにしましょう(zipファイルに限ったことではありませんが)。

多くのアンチウィルスソフト、セキュリティシステムはメール受信時に添付ファイルをチェックし、危険ファイルの場合は警告を出したり自動的に対処してくれる機能が備わっています。

しかし、パスワード付きzipファイルはパスワード保護されているためにセキュリティシステムやソフトが中身を覗けず、スルーされてしまうことがあります。

悪意あるハッカーがセキュリティシステムを回避する方法としてパスワード付きzipファイルを使う手法は別段新しいものではなく、かなり以前から使われているもの。

実際にパスワード付きzipフォルダに格納して送られたファイルを開いたために、企業の社内ネットワークがウィルス・マルウェアに汚染された事例もたくさんあります。

zipファイルに限ったことではありませんが、zipファイルはセキュリティソフトも素通りする可能性が高いもの。

メールで受け取ったファイルを開くときは特に送信者が信頼のおける相手か要注意です。同時に送信者の偽装にも注意したいところ。

まとめ:パスワード付きzipとパスワードを別々にメールするの、意味なし!

  • zipファイルとパスワードを別々のメールで送ったところで片方もれる状況ではもう片方も漏れるのでセキュリティ上意味ない。
  • 一応、アドレスを間違えての誤送信を防ぐ意味で多少は役に立つかもしれない程度。
  • どうしても漏洩・セキュリティが気になる場合、パスワードは電話などメール以外の方法で知らせれば無意味ではない。

私も、このルールを徹底している取引先がありまして。メールでファイルをいただくたびに「 無駄な手数増やしやがって全身インディゴブルー野郎がぁぁぁぁああ!! 」とプチギレしながらパスワードをコピペ → 解凍展開しています。

が、取引先の会社のルールだし仕方なしと諦めている。やってるフリでしかないけど、IS027001とかISMSとかセキュリティ資格欲しさにやってるんだったらやめられないでしょうし。

取引先のルールにまで口を出す情熱は私にはありません。私は諦めました。僕は負けた、負けたよばっちゃん。だって相手は全身デニムなんだもの。そんな覚悟の男に、僕は勝てないよばっちゃん。

おとなになるって、あきらめることなんだよ。ばっちゃんが言ってたあの言葉、働きはじめてから骨身にしみているよ。ばっちゃん、そんなこと言ってないけれど。