重要ファイルをメールに添付して送信するときには「パスワード付きZIPで圧縮して送信」というのが日本の伝統芸になっています。システム化されて自動的にパスワード送信まで行うシステムもあるようです。

でも、ちょっと待ってください!

そもそも、メールは平文で送られることが前提のシステムです。最近はサーバー側でもSSL/TLSにも対応して「メーラーとメールサーバーの間」の通信は暗号化されているケースが増えていますが、サーバー間の通信となると平文での転送が未だに多いようです。弊社サーバーではサーバー間通信も暗号化するように設定はしていますが、相手方のサーバーが対応していなくて平文で送受信される例が多く観測されています。という事は、メールでパスワードを送信した段階でセキュリティの確保は一切されなくなっています。しかも、別便にしたところで送信元メールアドレスも受信先メールアドレスも同一なら尚更です。同じルートを「パスワード付きZIPファイル」も「パスワード」も通るわけですから、盗聴者がいれば情報漏洩してしまいます。

では、何故、そんな面倒なことをするようになったのでしょうか?

私が「重要ファイルはパスワード付きZIPで圧縮して送る」に出会ったのは大手通信事業者でデータセンターのサーバー監視業務をしていた時が初めてです。その時に教わったのは「誤送信した時に重要ファイルを開かれないようにするため」と聞きました。なので、1通目は受信先メールアドレスを手打ちして「パスワード付きZIPファイルを添付」して送る。2通目は1通目を転送する形にして改めて受信先メールアドレスを手打ちしてパスワードを記載して送るというものでした。頻繁に送る先の場合は事前にパスワードを決めておいて、パスワードのお知らせメールは送らないようにしていました。2通のメールの受信先メールアドレスをそれぞれ手打ちするのは万一誤送信した場合でも2通目を送る時には気付くだろうという前提がありますが、比較的有効かと思いました。

ところが、どこかの誰かが本来の意味を知らずに、1通目のメールに対する返信として2通目のパスワードお知らせメールを送るようになってしまったんですね。この段階で、「重要ファイルはパスワード付きZIPファイルで送る」の意味が全くなくなってしまったのですが、誰も気付かずに伝統芸能のように引き継がれてきたわけです。そして、もっと悪いことに、どっかのSI屋さんがその伝統芸能をシステム化しちゃったわけです。もう、最悪ですね。

いつの間にか「誤送信対策」だったはずの「重要ファイルはパスワード付きZIPファイルで送る」が「情報漏洩対策」に化けてしまったわけなのです。情報漏洩対策としては100%無意味であるのにも関わらずです。そして、日本だけでしか通用しない伝統芸能として口承伝承されてきたのです。そもそも、パスワード付きZIPファイルに重要な意味があるのであればWindowsとかmacOSが標準で簡単にパスワード付きZIPファイルの作成が出来るように作られているはずです。でも、そうはなっていません。その段階で推して知るべしなのです。

最後に声を大にしてアピールします。

「パスワード付きZIPファイル」と「パスワード」をメールにて別便で送ることには何ら意味がありません。

日本の人達が、この呪縛から解き放たれる日が早く来ることを祈って、この記事を締めます。

Follow me!