メールに添付ファイルをつけて送るのはとても便利ですが、うっかり宛先を間違えることはあり得ます。受け取った人が、関係者に再転送してしまうこともあります。そこで、添付ファイルを暗号化して送るルールを制定し、その解凍パスワードを別送することで漏洩を防ぐ方法が広く使われています。

しかし、実際の運用ではいろいろ工夫がなされてしまい安全が確保できなくなっていないでしょうか?

  • パスワード通知メールもまとめて転送してしまい、第三者に暗号化ファイルとパスワードがペアで届いた。
  • 毎回パスワードが変わると面倒ということでパスワードを秘密鍵にし、関係者で共有して使いまわす。
  • ファイル名に2byte文字が含まれていて、Windows機以外での解凍ができないトラブル。
  • パスワードが短い/単純/辞書攻撃に脆弱な文字で、パソコンで推測できる。

そもそもzip暗号化ファイルは、パスワード解読のための攻撃処理を検知できません。8文字英数記号の組みあわせなら、ランチタイムが終わるころには総当たり攻撃で破ることが出来そうです。
ZiP暗号化ファイルで大切なデータを送るときは、以下をお勧めします。

  • ファイル本体はダウンロード記録ができるとか、アクセス認証を要するサーバーで配布する。相手先のダウンロードを確認したら即削除。
  • パスワードは生成ソフトで複雑な文字列を作る。
  • 覚えにくいなら、数文字でいいのでランダムな文字を付け加える。
  • 更に数文字でいいのでパスワードの一部を毎回変える。
  • ファイル名には「秘密」「回覧注意」等を付ける。秘密である旨明示しないとNDAで保護されませんよ。

複雑なパスフレーズを生成するフリーソフトも入手できますし、ブラウザプラグインもあります。上手に利用して安全性を確保していきましょう。