百害あって一利なし、PDF(zipファイル)のパスワード方式

2021年1月29日

DX?ナニソレオイシイノ?

IT化どころかいまだにFAXがコミュニケーションツールとして幅を利かせている、周回遅れの不動産業界においてよく目にする光景のひとつ

zipファイルを暗号化してメール送信後、同じメールアドレスにパスワードを送る

セキュリティ上無意味なPPAP方式

こんな慣行(愚行)は「PPAP」と呼ばれ揶揄されています。

  • Passwordつきzip暗号化ファイルを送信
  • Passwordを同じメアドに送信
  • Aん号化(暗号化)
  • Protocol

特に大手にこの手法を取り入れているところが多い気がします。

しかし、そもそもzipファイルを暗号化するって

何のため?

パスワードメールの盗聴リスク

目的は「セキュリティ確保」だとは思うのですが

  1. zipファイルをメール添付
  2. パスワードを同じメールアドレスに送信

Googleやamazon等、2段階認証を用いている大手は

PCとスマホ等、違う端末・宛先に情報を送信

これであればそれなりのセキュリティレベルを担保されますが、同じメールアドレスにzipとパスワード、2つの情報を送っている時点でもはやセキュリティは担保されていません。

ウイルスチェックができない

通常のセキュリティ対策がなされている組織やサービス(Gメールもそうですね)であれば、メールサーバー上やクライアントPCでのウイルスチェックが行われます。

しかし、暗号化されたzipファイルに対してはこうしたウイルスチェックが働かなくなります。

すなわち、ウイルスがエンドユーザーに直接届いてしまうリスクが上がってしまいます。

そのエンドユーザーが、自分のPCでパスワードを使ってzipファイルを解凍した途端、、、

パスワードは容易に解析可能

パスワード送信メールが盗聴されなかったとしても、zipファイルに付与されたパスワードは無料ソフトで解析し破ることが可能であるため、セキュリティ対策ととしては万全ではありません。

受信者の生産性が著しく低下

私が一番頭にくることがこれ。

  • メール添付でzipファイルが送られてくる
  • zipファイルをダウンロード
  • 別メールで送られているくるパスワードをコピー
  • それをzipファイル解凍時にペースト
  • 開いたファイルは機密情報でもなんでもない数枚のPDF資料

契約書のドラフト等、機密情報でも何でもない資料を送ってくるのにこの作業、必要ですか!?!?

この無駄な工数、返してくれっ!

送信者はルーティン作業で大した工数ではないのでしょうが、それを受けた受信者はひとつひとつ、面倒な作業が必要となります。

特に複数社に同じ業務を以来し同じ返信が来た場合、無駄に同じことを何度もしなければならなくなります。

受け手の痛みを考えない一方的な暗号化が社会全体の効率を下げる

何ら疑問を持たず思考停止でルーティンワーク、これが一番の問題と考えます。

典型例

先日、正に典型的なパターンの資料を送られてきました。

zipファイルを解凍してみるとその中に、そのときの作業の流れ前提を説明する資料が入っていました。

よくある「はじめにお読み下さい」的な資料ですね。

受信者の私がやる作業は

  1. zipファイルをダウンロード
  2. 別メール記載のパスワードをコピペしてzipを解凍
  3. この資料を読み
  4. 必要な資料を両面印刷
  5. 記名・押印等の処理
  6. その資料をさらにPDF化
  7. メールで送信(こちらの個人情報が記載された資料は暗号化されず)
  8. その資料を郵送
  9. 後日、受領印が押された控えが郵送で送られてくる(しかも戻ってきた書類は先にメールで送ったPDFを印刷、押印されている、じゃ最初からそれでいいじゃん!)

アホですか!?

そもそも「紙」というリアルが媒体が必要な意味がわかりません。

百歩譲って紙が必要だとしても、そのテンプレート・ドラフトには機密情報が含まれていないため暗号化する意味はなく、メール添付、またはどこかのサイトからダウンロードさせればいいだけです。

逆にこちらの個人情報を記載した資料こそ鍵付きで送る、セキュリティが担保された専用サイトにアップロードするなどが必要なはずです。

そして、機密性が担保された手法で相手に送れれば、さらに紙を郵送する必要もないはずです。

暫定対策

こんな業界と付き合っていかなければならないのは正直ストレスですが、現状では仕方ありません。

というより、この手の手法を取り入れてる会社のほうが多いぐらい。

最近のコロナ禍で保健所のシステムも集中砲火を浴びていましたが、不動産業界も今だに

コミュニケーションツールの主体はFAX

という超アナログの業界ですからね。

とりあえずこの会社に対しては

全てアナログでやり取りする(先方から資料を郵送してもらい、こちらで記入後、返信用封筒返送する)

としました。