「security」タグアーカイブ

メール添付ファイルの暗号化

サラリーマンの悲しさ。
📧

日本の情報処理分野の学会として、その名も「情報処理学会」というものがあり、私自身は会員ではないのですが、大学時代に近いところにいて、それからかれこれ30年以上も関連する仕事をしているので常に関心を持っています。その学会誌である「情報処理」の2020年7月号(61巻7号)で「さようなら,意味のない暗号化ZIP添付メール」という小特集が組まれていることを知りました。

タイトルだけで思い当たる人はいると思いますが、日本の企業でなぜか広まっている、メールに添付ファイルを付けるときは暗号化ZIPファイルで送信する、という文化をなんとかやめさせようというものです。このようなことが行われているには次のような理由があるようです。

  1. 情報漏洩対策
  2. コンプライアンス対応ポーズ
  3. セキュリティ資格対策

上記2と3はバカバカしくて話をする気にもなれないので、ここでは1についてのみ取り上げますが、これも内訳としては次のようなものになると思います。

  1. 盗聴対策
  2. 誤送信対策
  3. 誤転送対策

aの盗聴対策というのは送信相手のPCやメールサーバー、伝送経路上のサーバーから不正アクセスによってメールが読み取られた場合の対策ということです。しかし、ファイルが添付されたメールにアクセスできるのであれば、たとえ別のメールに書かれていたとしてもパスワードを読み取ることも容易なはずで、まったく意味をなしていないのではないか、というのは反対派からよく言われていることですし、私自身もこれに同意です。

bの誤送信対策というのがおそらく唯一、わずかながらも意味のありそうな理由だと思っているのですが、間違った相手に添付ファイルを送ってしまったとしても、次のメールでパスワードを送ってしまうまでは相手が内容を見ることはできないので、まだ挽回できるということです。普通にメールを書いていて、本文の誤記や送信先の過不足に気づくのはなぜか送信ボタンをクリックした直後だったりするので、ある程度の効果はあるのではないかと思っています。ただ、それも確実なものではなく、「気づいたらラッキー☆」というくらいのものではないでしょうか。

なお余談ですが、私の勤務先でも最近はFAXを使うことはなくなりましたが、以前はFAXの誤送信が問題になったことがありました。FAXの場合は電話番号で送信先が決まりますし、チェックディジットのようなものもないので単純な番号の押し間違いでまったく関係のない相手に送信してしまうことになります。間違った先がFAXに繋がっていればそのまま情報漏えいにつながってしまいますし、そうでない場合には一般の電話に対して再送信を繰り返すことになって迷惑電話となってしまいます。対策としては基本的に短縮ダイヤルを利用し、登録されていない相手に送信する場合は2名でダブルチェックして送信すること、というルールになりました。これも労力の無駄遣いですが、それがFAXの退陣を促進したかもしれません。

cの誤転送対策というのは、自分が送信した相手がそのメールを別の人に誤って転送してしまった時に、自社の機密情報が漏れてしまうのを防ぐということです。自分の手を離れた後のことなので完全な対策は不可能ですし、本来は送信相手が注意すべきことなので、アメリカなどでは万一の場合には訴えられるということが抑止力のようになっているのではないでしょうか。そこまで気をつけなければいけないような情報なら、メールで送るべきではないようにも思えます。

機密情報をメールでやり取りするためにはS/MIMEPGPといったものがあるので、本当はこれらを使えばいいはずなのですが、それがあまり使われていないのはなぜなのでしょうか。また、そもそも添付するのはやめてクラウドストレージインスタントメッセージなどなにか別のセキュアな手段を利用するというのも良いでしょうが、そこから情報漏洩するということも考えられるため、私の勤務先もストレージサービスやインスタントメッセージはブロックしていて利用できないというのも問題です。とにかく、暗号化ZIPファイルというのはほとんど効果がないのに手間だけが増えているので、なんとかしてほしいものです。偉い人が「情報処理」を見て考えを改めてくれないものでしょうか。

ホワイト国

子供の喧嘩じゃないんだから。
📦

日本と韓国との関係第二次世界大戦終結以降良かったことはないのだろうと思いますが、現在のムン政権ではいわゆる徴用工問題をこじらせてなかなかややこしいことになっています。まあ大体隣国との関係が良いというのは珍しいことで、本当に仲が良いなら国境線など引く必要もないわけです。アメリカとカナダの関係は良好に見えますが、それでも互いに受け入れられないものはあるはずです。

外交問題についてはそれぞれの言い分もあるのでどちらが正しいというだけでは解決しないと思いますが、最近話題になっているいわゆる「ホワイト国」について、韓国側の対応が理解できないのでちょっと取り上げておこうと思います。

「ホワイト国」というのは安全保障貿易管理の一環として「外国為替及び外国貿易法」、いわゆる外為法に基づく「輸出貿易管理令」で定められている「キャッチオール規制」で、優遇措置対象の国々に対する呼称として使われていた名称です。これについて8月28日から、これまでのホワイト国を「グループA」、非ホワイト国を「グループB/C/D」に区分し、この分類において大韓民国をグループBに分類する、ということが8月2日に閣議決定されたというわけです。

ここでいう「優遇措置」というのが何なのかがポイントですが、大量破壊兵器の開発などに利用・転用されるおそれがないかという審査を省略することができる、というのがその内容です。つまり、あくまでも安全保障上の管理であるため、グループAから外れたとしても審査が厳しくなるだけで、一般的な貨物の輸出であれば手間がかかるという以上の問題はないはずなのです。もちろん手間がかかるということは経費がかかるということになりますので、商売として不利になってしまうことはありますが、どうしても日本からでないと購入できないということでなければ、それは輸出する日本側の競争力が低下するということでしかないのではないでしょうか。

これに対して、韓国側が報復措置として日本をホワイト国に相当する分類から外すことにした、というのがわけがわかりません。堂々と「報復である」と表明してしまうのも意味がわかりませんし、半導体など韓国が売りたいものは対象外にする、というのも何をしたいのか不明です。日本が韓国から買えなければ困るようなものはサムスンの半導体くらいでしょうから、困るのは他の韓国企業だけなのではないでしょうか。

今回の騒動のそもそもの発端は、キャッチオール規制の前に審査が必要なリスト規制の対象品目であるフッ化ポリイミドについて「不適切な事案」があったためということになっています。この「事案」について具体的な説明はなされていないのですが、私はこれについて韓国側への配慮で伏せられている可能性も考えています。いくらなんでもこんな大事になることがわかっていることをでまかせで言うわけがないので、公表されると困る人がいるから明らかにしないのでしょう。

ただ、韓国側から見ると自分たちが悪者であると言われているのと同じなので、国民感情として反発してしまうのも理解できます。しかし、こんな幼稚な報復では問題が解決に向かうはずもないので、韓国政府にはもう少し考えて対応してもらいたいものです。

TwitterのXSS騒動

Twitter迅速な対応はお見事。

こんな辺境のブログをご覧の皆さんに今さらご説明するまでもなく、ブログに代わってインターネット上のコミュニケーションや情報発信の主役となっているTwitterですが、たまのメンテナンスの時にはとたんに手持ち無沙汰になってしまう依存症の方も多いのではないでしょうか。今ひとつ安定感に欠けるのが難ですが、逆に素朴な感じがしていい…なんていうことはないでしょうね。

そのTwitterに昨日、クロスサイトスクリプティング脆弱性があることが明らかになり、ユーザーの間ではちょっとした騒ぎになっていたようです。しかし、その対策は速やかに行われ、認知から4時間で主要因を解決、6時間半後には関連する問題まで完全に解決したとのことです。また、今のところさほど大きな被害も伝えられておらず、スピードが奏功したということではないかと思います。

ところで、クロスサイトスクリプティング、略してXSSとはいったい何なのか、ちゃんと理解出来ている人はどれほどいるのでしょうか。たまに聞く言葉なので漠然と「危ない」ということは分かっていても、間違った対応をしてしまっている人がいるのではないかと、今回の騒ぎの中で感じました。

細かい説明はWikipediaやあちらこちらにあるので見ていただければと思いますが、もちろんTwitter特有のものではなく、ユーザーに入力させた文字列をそのまま表示するコメント欄などを持つウェブサイトでその処理に漏れがあったときに陥る問題です。入力された文字列を適切に処理せずそのまま表示するようになっていると、プログラムを埋め込まれたときそれがブラウザにより実行されてしまい、ウェブサイトの運営者の意図とは関係の無い処理が行われてしまうことが起こりえます。それが悪意を持つものであると情報の流出などにつながるということなのですが、結局それが動作するのはそのウェブサイトにアクセスした時ということに注意しなければなりません。

要するに、そのウェブサイトにアクセスしないということがユーザとしての最良の対応と言えるはずです。しかしながら「ログアウトした方がいい」というような情報が一人歩きしたようで、ログアウトしようとTwitterのウェブサイトにアクセスして「ログアウトもできない」というような声が上がっていました。ログアウトするためにちゃんとログアウト用のURLにアクセスしていればよいのですが、普段どおり自分のホームを表示してからログアウトしようとしていては全く意味がなく、その時点ですでに悪意を持つプログラムが実行されてしまっている可能性があります。

結局こういったことは知らなければ仕方が無いことなのですが、インターネットが広く一般に使われるようになったのは良いものの、然るべき教育が行われないまま使われてしまっていることが問題なのでしょう。単に利用するだけならば誰でも使ってみればそのうち分かるものですが、脆弱性への対応などについては仕組みを理解していないと難しいのではないでしょうか。免許制にすべき、などという極端な意見もあるようですが、大きな被害が発生する前に何らかの対応が必要かもしれません。