【社会】「メールでパスワード別送」セキュリティ的にはNG　いまだはびこる「PPAP」問題 [朝一から閉店までφ★]

2022年9月15日

1 ：朝一から閉店までφ ★：2022/09/14(水) 18:07:20 ID: gdRbak8Q9.net: 2022年09月13日 16時50分

ファイルをメール送信するとき、まずパスワード付きのzipファイルを送り、続いてパスワードを別送するという方法が広く使われてきた。セキュリティへの配慮から生まれた方法だが、実は意味がないのだという。

9月3日におこなわれた弁護士業務改革シンポジウム（主催・日弁連）の第1分科会で、情報セキュリティにくわしい吉井和明弁護士が解説した。

●「パスワード別送」がダメな理由

https://www.bengo4.com/c_18/n_14953/

ID:

>>1
SDGSのバッチ付けてる会社とメールパスワード別送の会社は信用しないほうがいい
3 ：ニューノーマルの名無しさん：2022/09/14(水) 18:08:25 ID: 4riH76PJ0.net: というかもうメール添付自体やめろよ
5 ：ニューノーマルの名無しさん：2022/09/14(水) 18:09:06 ID: /DofX5zu0.net: 何がすごいって
全国に支店・支社があるような大企業でも
コレやってたりするんだぜｗ

ID: B5/aqxUm0.net

>>5
うちの会社っすなー。パスワードの前に半角空白いれてくるし。googleなどに対抗しようと社員に毎月サクラのノルマを課すしITやシステム部分はクソ弱いしPCのメモリが4GBエクセル使えないのにエクセルでのファイル提出を要望してくるしもはやギャグ以外では成り立たないレベル

ID:

>>5
拝承

ID: szCcKFYO0.net

>>5
電話かFAX
6 ：ニューノーマルの名無しさん：2022/09/14(水) 18:09:18 ID: 6DafEC3I0.net: うちの会社これやってるわ

じゃあ、どうすればいいのよさ？
7 ：ニューノーマルの名無しさん：2022/09/14(水) 18:09:40 ID: pvaT695C0.net: 意味ないよな。自動で同じアドレス送るだけだから、誤送信したらおしまいだし。

ID: k2ylEu6L0.net

>>7
元々は逆
1通目（ファイル）で誤送信した時に2通目（パス）を送る前に気付けば中身を見られずに済む
と言う誤送信対策の為のもの
ものぐさな会社が2通目は自動送信にすれば楽じゃんと本末転倒な事を始めたのが間違いw

ID: v8TkwXxt0.net

>>7
パスワード付きで圧縮されると
メールサーバのアンチウイルススキャンやら、セキュリティ用のゲートウェイやら
貫通して相手に届くから

意味ない以上にセキュリティ上害悪なんよ
8 ：ニューノーマルの名無しさん：2022/09/14(水) 18:09:51 ID: /DofX5zu0.net: せめてパスワードは、別の手段で送れば良いのに
FAXとかLINEとかSMSとか

ID: Oq9/lmCc0.net

>>8
LINEですらハッキング出来るのでLINEは危険だろ？
10 ：ニューノーマルの名無しさん：2022/09/14(水) 18:10:23 ID: CcCrbq7j0.net: ペンパイナッポーアッポーペン禁止

ID: 8ObBCTrA0.net

>>10
誰も言ってなくてワロス
11 ：ニューノーマルの名無しさん：2022/09/14(水) 18:10:33 ID: MH4yozZf0.net: パスワードはテレパシーでお願いします
14 ：ニューノーマルの名無しさん：2022/09/14(水) 18:12:49 ID: ajHdX8Sj0.net: 良い感じの代替手段が無いからみんな継続してやってるよね
16 ：ニューノーマルの名無しさん：2022/09/14(水) 18:13:42 ID: aQqFZpFG0.net: プライム上場1万人以上の企業だけどPPAPやわ
17 ：ニューノーマルの名無しさん：2022/09/14(水) 18:14:01 ID: SuJqYabr0.net: 総務省が推奨してたような

ID: /DofX5zu0.net

>>17
最近は、ファイル共有サービスを使えって言ってる
19 ：ニューノーマルの名無しさん：2022/09/14(水) 18:15:18 ID: 1nF3VdvI0.net: 送ったあとに誤送に気付くことがあるからな
効果はかなり薄いけど意味がないことはないよ
24 ：ニューノーマルの名無しさん：2022/09/14(水) 18:16:03 ID: fL96Ytec0.net: 先に今日のパスワードファイルを送信してから
時間を置いて暗号化ファイルを送ったほうが多少マシ
25 ：ニューノーマルの名無しさん：2022/09/14(水) 18:16:14 ID: bwWxMDwU0.net: SNSワンタイムや事前に取り決めたものじゃないと意味無いよなぁ
26 ：ニューノーマルの名無しさん：2022/09/14(水) 18:16:30 ID: 9prNchW80.net: 添付の資料につきましてはパスワードは郵送にてお送りいたします
30 ：ニューノーマルの名無しさん：2022/09/14(水) 18:16:52 ID: 2BpAs17N0.net: 誤送信対策じゃないのこれ
意味なくはないと思うけど、他にやりようはあるだろとは思う

ID: ONu3Gn2X0.net

>>30
2通目をRe:で送ったら意味がない
やっぱり会員制のファイル共有サービスだな
アクセス制限はユーザ単位でかける
34 ：ニューノーマルの名無しさん：2022/09/14(水) 18:18:44 ID: GBK0hcWl0.net: NTT社員はいまだにこれで送ってくる。
52 ：ニューノーマルの名無しさん：2022/09/14(水) 18:23:14 ID: l1lrAzjU0.net: パスワードは電話で伝える
57 ：ニューノーマルの名無しさん：2022/09/14(水) 18:24:42 ID: zXJsJf7a0.net: >>48
別に完全に意味ないって全否定してなくね？

ID: 2BpAs17N0.net

>>57
だとしたらお前なんのためにレスしたの？
俺、わざわざ意味なくはないって弱めの表現使ってるのに
64 ：ニューノーマルの名無しさん：2022/09/14(水) 18:25:37 ID: Xm0BqlHV0.net: 送信した瞬間に「うわ、間違ったところに送っちゃった」って気付いた状況では役に立つ
次のパスワードメールを送らないからな

後は、違う通信になるので、片方だけしか傍受できない可能性もある

ID: r2fPvpaw0.net

>>64
1分遅延送信とか2分遅延送信を設定しとけよw
68 ：ニューノーマルの名無しさん：2022/09/14(水) 18:26:20 ID: 2RjUhpqR0.net: で、何なら満足なの？
81 ：ニューノーマルの名無しさん：2022/09/14(水) 18:29:21 ID: c4MU5p9x0.net: 応用で拡張子まで受信者に変更させる方法もあるけど
なんなんあれ
85 ：ニューノーマルの名無しさん：2022/09/14(水) 18:30:08 ID: ruF9n/iS0.net: パスワードは今日の8

ID:

>>85
女神板の和佳奈のzipファイルのパスワードが１５年以上経った今でも解読できない
当時JCだが今や三十路だろうなあ
87 ：ニューノーマルの名無しさん：2022/09/14(水) 18:30:51 ID: mX9Jmhsu0.net: 「今、メール出したから、で、パスワードは〇〇だから」って電話すればオケだろ
89 ：ニューノーマルの名無しさん：2022/09/14(水) 18:31:12 ID: cWZy5+L50.net: パスワードのないフリーWi-Fiって別に危なくないよね
92 ：ニューノーマルの名無しさん：2022/09/14(水) 18:31:53 ID: mGDftI6I0.net: やっぱり大事な話は料亭で直接会話しないとな
94 ：ニューノーマルの名無しさん：2022/09/14(水) 18:32:38 ID: CE7m/KOV0.net: ああ、よくあるなｗｗ
パスワードかかったファイル添付したメールの後にパスワードメールｗｗ

ぼく（意味あるのかコレ）

ID: /lOLCTZc0.net

>>94
意味はない。単に儀式だと思うもの。
そしてやり方変えるほどコストでもないんだわ。
他を模索しても、そいつらも何らかの制約があったりするから考える方がコストがかかるまである。
97 ：ニューノーマルの名無しさん：2022/09/14(水) 18:33:41 ID: 9QkPmwYd0.net: というかこの問題のベストプラクティスを教えてほしい
103 ：ニューノーマルの名無しさん：2022/09/14(水) 18:36:01 ID: ONu3Gn2X0.net: >>93
35だけど、Re:だと宛先チェックしない問題、毎回宛先選択だと
古典的な誤送信問題があるな。
106 ：ニューノーマルの名無しさん：2022/09/14(水) 18:36:34 ID: 7rQakkPW0.net: パスワード自体が時代遅れのセキュリティ対策なんだよ
取り扱いを複雑にすればいいって問題じゃない
114 ：ニューノーマルの名無しさん：2022/09/14(水) 18:37:59 ID: 6qeN2Dmy0.net: うちの会社は半年前に自動で圧縮＆暗号化で送信して、パスワードも自動で後で追送信してくれるようになったのに
118 ：ニューノーマルの名無しさん：2022/09/14(水) 18:38:30 ID: CE7m/KOV0.net: >>109
ウチはパスワード掛けてますよ
的なポーズだとは思ってるｗｗ

ID: /lOLCTZc0.net

>>118
だよねー。あと客先に合わせるのもある。
個人的には添付メールなんて害悪以外何者でもないと思ってるけど、この程度なら気にしたら負けよな。
密にやり取りするならプロジェクト単位で何らかの共有サービスで連携するし。
123 ：ニューノーマルの名無しさん：2022/09/14(水) 18:39:44 ID: FK/aVsGB0.net: 時間も金も手間もかからない代案出せよ

ID: V+rQC9ud0.net

>>123
携帯番号にSMSでパスワードを送る？

ID: TmvVB2/90.net

>>123
パスワードだけ電話でよくね？
132 ：ニューノーマルの名無しさん：2022/09/14(水) 18:41:56 ID: crZfND1f0.net: 最近はパスワードが重複発行されて来るんだけど
同じメールに2、3個のパスワードが書かれてる
そして正解は1つ
140 ：ニューノーマルの名無しさん：2022/09/14(水) 18:43:41 ID: +/snaCXd0.net: 複数のEXEファイルとか送る時に
セキュリティで弾かれる時に
フォルダに入れてzip暗号化
これでたいがいスルーできる
150 ：ニューノーマルの名無しさん：2022/09/14(水) 18:46:05 ID: gyI0DLVZ0.net: 固定の取引先なら打ち合わせでパスワード決めとけばメールで送らんでもええやろ。
単発の相手なら別ルートからパスワード送信やな。
全く同じメーラーから全く同じ宛先に追撃しても何の対策にもなってない。
154 ：ニューノーマルの名無しさん：2022/09/14(水) 18:46:39 ID: 4tuO4yA10.net: メールのゲートウェイで自動的にPPAPやる
製品があるらしく某自動車会社が
使っててびっくりしたよ
160 ：ニューノーマルの名無しさん：2022/09/14(水) 18:47:27 ID: SbJNbSYt0.net: で、ファイル送るときはどうすればいいん？
179 ：ニューノーマルの名無しさん：2022/09/14(水) 18:51:26 ID: WPnD5mxZ0.net: ジャック「エコー！ブラボー！チャーリー！デルタ！」
181 ：ニューノーマルの名無しさん：2022/09/14(水) 18:52:04 ID: RTm9OcHH0.net: パスワードはFAXだろ普通

ID: Oq9/lmCc0.net

>>181
今の若い世代はファックスを持ってない人が多いからな～
若い世代はファックスよりスマホなんだよね
そこを若い世代にどう説得するかだね～
182 ：ニューノーマルの名無しさん：2022/09/14(水) 18:52:49 ID: y0DHYJy+0.net: 秘密鍵は相手がしょっちゅう無くすからな
193 ：ニューノーマルの名無しさん：2022/09/14(水) 18:54:18 ID: fzHScqVj0.net: 脱PPAP製品の資料をPPAPで送ってくる会社があってさ
大⚪︎商会とNT⚪︎ね
馬鹿すぎて話にならんわ

ID: TmvVB2/90.net

>>193
大塚○会そんな感じなのか
200 ：ニューノーマルの名無しさん：2022/09/14(水) 18:55:44 ID: mDVZN2/t0.net: 国内外の会社と商談してると日本の企業だけパスワード付きのファイルを送ってくるんだけど
ファイル開くの面倒くさいから対応が後回しになるんだよね

未だにこれやってる企業はビジネスチャンスを失ってることを自覚したほうがいいよ
205 ：ニューノーマルの名無しさん：2022/09/14(水) 18:56:53 ID: co3TFKai0.net: office365の暗号化機能使ってるわ
インストール版のoutlookだと出来ないから
暗号化の時だけweb版使うのが面倒だけど
213 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: >>202
本当はルータをジャックした場合を想定すると、
メール一個をモニターしたら圧縮ファイル解凍できちゃうのと、
バカスカ流れる無限のメールからパスのもう一通を探し出すのが困難なのを利用してるんだけどね
要するに木を隠すには森的な方法

インターネット黎明期からある
特にフリーカー対策
216 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: 届くメールのフォーマットが同じだから
自動化されてるんじゃないのかな
改修するにも金かかるから放置だわな
229 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: ダメなのはわかるけど現時点での最適解も一緒に告知しないと聞いてもらえないよ
237 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: >>233
裸の添付ファイルを勝手に圧縮、暗号化するんだぜ　頭が悪いわ

ID:

>>237
ウィルス対策の側面もある
258 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: これってメール添付自体がNGってことでしょ
261 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: >>1
SDGSのバッチ付けてる会社とメールパスワード別送の会社は信用しないほうがいい
265 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: ちなみに外資の仕事してるとこういうの全くなくて楽
やっぱりこれ日本のクソアプリか何かなのか

ID:

>>265
外資はどうなってんの？
267 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: で、じゃあどうするのってのの決定版が
無いんだよな。だから無くならない

ID:

>>267
予め取り決めておけばいいんだよ
乱数表でもいいし、1月1日から今日は何日目みたいな数字
268 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: クラウドストレージでのやりとりも
結局はURLやパスワードの通知が必要だし
あんまりガチガチにすると営業活動に支障出るしなぁ
どっぷりお付き合いがあってデータのやりとりが頻繁な会社だと
Dropboxの共有アカウント作ってたりするけど
282 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: うちはクラウド上のフォルダに事前にメール登録して貰ってた
ファイルをアップロードする時に登録された送信先を選ぶとアップロード時に自動で暗号化されてそのシステムからURLとパスワードが書かれたメールが送信される
でも誤送信は発生はするな

ID:

>>282
うちもそう
URLとパスワードをメールで送ったら同じだよね
302 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: 公務員は全部そうやらなきゃだめなんだよ
だから、官公庁と仕事してるところはそうなってしまう
316 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: パスワードも定期的に変えるほうが単純になりやすくてセキュリティリスクが増大する

ID: ERE8CWqa0.net

>>316
1ヶ月の変更ルールが有って8桁のパスワードで上4桁を固定して下4桁は年と月にするとか
329 ：ニューノーマルの名無しさん：2022/09/14(水) 19:38:04 ID: m9F4aLcF0.net: うちの会社もこのパスワード別送ルールあって
意味ないから廃止してほしいって何回言ってもルール変えられない

ID: VDpYb2K90.net

>>329
誤送信対策をしてると言う対外アピールとして採用してる会社はあるみたいね
自動送信してるなら意味無いけど2通目も手動ですと言っときゃバレないし
333 ：ニューノーマルの名無しさん：2022/09/14(水) 19:39:00 ID: lqavaLLo0.net: LINEの時代にメールなんか使ってる会社あるの？

ID: fVojpTI10.net

>>333
仕事でライン(笑)
プライバシーへったくれもないブラック企業オツ！！！
345 ：ニューノーマルの名無しさん：2022/09/14(水) 19:42:01 ID: SSRl8EAV0.net: ウイルスとかにバラまかないように
送信者が２重チェックするシステムだとおもってたが

全自動で送っちゃうの？
346 ：ニューノーマルの名無しさん：2022/09/14(水) 19:42:19 ID: OO2u+V6C0.net: もしかしてピコ太郎はこれからネタにした？
378 ：ニューノーマルの名無しさん：2022/09/14(水) 20:06:12 ID: 6wRtvtAX0.net: 別に漏洩してもいいファイルなんで平文で送りたいんだけど
外部のアドレスに添付ファイル付けるには暗号化ZIPの形式じゃないといけないので面倒
417 ：ニューノーマルの名無しさん：2022/09/14(水) 20:38:32 ID: fnFYYA7g0.net: 常駐先の新人の女性社員から「パスワードは初めて二人で飲みに行った日です」ってメール来た時は震えた
業務のファイルに対してなのに
学生気分なのかなんなのかわかんないけど怖かったし注意も出来なかった
結局LINE見返してなんとかしたけど無駄だし怖いしやめて欲しい

ID: 2MnvL2a10.net

>>417
深入りするとやばそっすね
その分、軽そうだけど
けつあな確定させます？
442 ：ニューノーマルの名無しさん：2022/09/14(水) 20:59:12 ID: CItwE8pn0.net: 暗号化zipの良いところ
パスワード送った相手はOK、それ以外が勝手に解析したら悪意と宣言できる点

zipでなくてもデファクトなら何でもいい

要は秘密開示範囲を示す儀式があればいい

技術的な秘匿性の追求は、コストかけていい本当の機密プロジェクトに適用してください。平凡な仕事にそこまでのコスト無駄。暗号化zipが正解。
細かいセキュリティの差でセールスするサービスも下らない。
464 ：ニューノーマルの名無しさん：2022/09/14(水) 21:25:18 ID: wi4o4BCu0.net: こういう製品があるらしい

https://www.hitachi-systems-es.co.jp/service/platform/secret-sharing-solution/formail/
468 ：ニューノーマルの名無しさん：2022/09/14(水) 21:27:16 ID: U9I+1IbN0.net: 結局ファイル送るときの最適解は何なんだよ！
480 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: 一応公開鍵暗号が解決策にはなるんだが普及しないのは面倒だからか

１対１のときにしか使えないからか
501 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: >>40
PTSD言いたいんちゃうん
506 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: 海外はこんなんやってないというが裸でやり取りしてるのか？
それともファイル交換ストレージを使ってるのかな？

ID:

>>506
Password to followっていう決まり文句があるくらいにはやってるよ
535 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: パスワードをそのまま書いたら取引のある社長から分けるのが常識だって言われたな
意味ないのにと思いながらもとりあえず応じておいた
いちいち反論はしないw

ID:

>>535
分けても無駄だとは思うが
流石に分けないのはマジで意味わからんすぎる
540 ：ニューノーマルの名無しさん：1970/01/01(木) 00:00:00 ID:: FAXでええやん
セキュリティ完璧やで

ID:

>>540
FAXを使ってるのは世界で日本だけ
アメリカならiCloudを使う
592 ：ニューノーマルの名無しさん：2022/09/15(木) 01:26:25 ID: Wh1tkc8h0.net: 意味無くはないだろ？
本気のヤツなら破るかもしれんが
イタズラ程度なら十分防げるわ
595 ：ニューノーマルの名無しさん：2022/09/15(木) 01:30:37 ID: iFT/23h00.net: コナン君みたいな怪文書にパスワード隠して送信
613 ：ニューノーマルの名無しさん：2022/09/15(木) 02:02:45 ID: 8RXmvc9X0.net: A社からPPAPでファイルを受け取り
俺が手を加えてB社にノーガードメールで送ってる
そのメールのCCには、A社の担当も入ってるが「せっかく暗号かけてるのに」とかは言われない
みんな特に何も考えてないんだろう
会社によっては自動でPPAPになってるぽいし

ID: ZXSKDsQw0.net

>>613
ルール的にBCCにしましょうね
みたいなのもあったりするが
618 ：ニューノーマルの名無しさん：2022/09/15(木) 02:24:31 ID: sLRyfqTO0.net: パスワードは直接手渡しすれば良い

ID: wEDqwN570.net

>>618
NECの関係の方はまさにそれだったな
口に出さずメモで手渡された
どうせ俺しかいないのにと思ったがプロはこういうものかと思わされた
619 ：ニューノーマルの名無しさん：2022/09/15(木) 02:26:06 ID: sLRyfqTO0.net: >>617
マジレスすると正解

メールとパスワードが同時に盗聴されなければパスワードは破られないから、
メールのみの場合よりセキュリティは向上する

ID: UAbenehW0.net

>>619
ZIPのパスワードなんて普及しすぎて解析進んでそうだけどな
634 ：ニューノーマルの名無しさん：2022/09/15(木) 03:34:27 ID: jS29Pu8m0.net: 開発会社がこれやってるからな
すべてをメールで送ってる時点でなんの意味もないのに頭腐ってんのかと
そんなソリューション作る方も大概だが
644 ：ニューノーマルの名無しさん：2022/09/15(木) 05:19:16 ID: 7zUGZOag0.net: Microsoft Teamsで添付してるわ
650 ：ニューノーマルの名無しさん：2022/09/15(木) 05:59:24 ID: YG+gh2qi0.net: 明確な意味はある。
ファイルや宛先を間違えて送ってしまうことがあるが
パスワード別送する間にそれに気づくことがある。

引用元:https://ai.2ch.sc/test/read.cgi/newsplus/1663146440/l1000

関連