メールへの機密ファイル添付をやめよう！

パスワード保護したzipファイルにウィルスを忍び込ませる手口のことを紹介しました(「ソーシャルエンジニアリングとパスワード保護zipファイルの添付」(5/26))。ウィルスならばzipを解凍した段階で、PCのウィルスチェックソフトが検出してくれる可能性があります。しかしスパイウェア、ボットなどを忍び込ませることも可能ですし、これらはウィルスチェックソフトだけでは検出できない可能性があります。

小川様が書かれた次の対策は、

　正しいパスワード付きのファイルをメールで送信する方法は、
・予めパスワードを相手と取り決めておく。もしくは事前に通知しておく。それも出来ない場合は、別途事前にメールでパスワードを通知して、「読んだら削除してください」の一文を入れておく。
・そのパスワードをつけたファイルをメールで送信。もちろん、メールの本文にパスワードは記載しない。
の方法だと思います。

どうしても機密ファイルをメールに添付しなければならない場合には現実的だろうと思います。

しかし、情報漏洩防止の観点から見ると、この方法にもいくつかの危険性があります。

• 情報漏洩事件の多くは内部犯行だと言われている。情報を持ち出そうとする確信犯がこの手法でファイルを持ち出しても、中身がわからないために防止も事後チェックもできない。
• SOX法対策の一環として、送受信メール全部を一定期間保存する必要がある場合、パスワード保護された添付ファイルでパスワード自体がわからなくなったら、そのメールに関して保存した意味がなくなってしまう。

つまり、暗号化したファイルのメール添付は、諸刃の剣です。第三者への情報漏洩を事実上防止できますが、悪用されたら逆に漏洩したこと自体の追跡ができなくなります。さらにウィルスやスパイウェアなどの侵入経路に悪用される可能性もあります。

以前から提言していますが、情報漏洩対策とウィルス等の有害メールへの対策の両方の観点から、機密ファイルを受け渡す場合には、メール以外の手段を使うことを真剣に考えないといけないように思います。メール添付と比べて手間とコストがかかることになるので、抵抗が大きいのはわかりますが。