https://lifehack2ch.livedoor.biz/archives/51758923.html

以下の内容はhttps://lifehack2ch.livedoor.biz/archives/51758923.htmlより取得しました。

2021年10月31日

【朗報】弊社情シス、ZIPと別メールでパスワードを送る運用に疑問を感じ画期的なシステムを導入！

14コメント｜2021年10月31日 11:00｜職場｜Web・テクノロジー｜Edit

1 ：風名し

まず社外宛のメールに添付ファイルがある場合は問答無用でパスワード付きZIPに自動変換！

そしてそのパスワードを送信先アドレスへ自動送信！

これにより宛先を間違えた場合も人の手が介入する余地なく誤送信先へパスワードが通知される！

21/10/29 18:13 ID:5zPOF7vIp.net

当ブログサイトはアフィリエイト広告、バナー広告を利用しています。

2 ：風名し

IT敗戦国の末路

21/10/29 18:14 ID:W0kk3QZSM.net 4 ：風名し

アンチ乙
無条件でzipに変換するシステム組み込んだだけで有能やから

21/10/29 18:16 ID:yBDvXZNNd.net 5 ：風名し

元からそのシステムやろ
ちなcore30

21/10/29 18:16 ID:iKYDpnAX0.net 7 ：風名し

顧客「うちとのやり取りではこのパスワードでZIP化してね」

ワイ「了解！」

弊社システム「お！添付ファイルや！パスワード付きZIPだけどZIP化したろ！」

21/10/29 18:17 ID:7vj+sJOyp.net 39 ：風名し

>>7
いや公開暗号鍵にしろや…

21/10/29 18:29 ID:K5/wnblV0.net 40 ：風名し

>>7
顧客「👹👹👹👹👹」

21/10/29 18:29 ID:CQxJ2aIJM.net 10 ：風名し

パスワード付きzipはウイルスチェックが効かせずウイルスを送り込める有能やからな

21/10/29 18:19 ID:5bcj93f60.net 37 ：風名し

>>10
トロイの木馬やな

21/10/29 18:28 ID:pzrpc56/d.net 13 ：風名し

御社略称三文字

21/10/29 18:20 ID:/ZADwUhqr.net 14 ：風名し

>>13
あっ

21/10/29 18:20 ID:iKYDpnAX0.net 15 ：風名し

ワイの上司「パスワードは弊社略称4文字です」

21/10/29 18:21 ID:kY+wc25Fd.net 16 ：風名し

これマジで意味わからんわ
なんのためにやってんの？

21/10/29 18:22 ID:QTMDIi60M.net 20 ：風名し

>>16
ないで
IPAも言うてた

21/10/29 18:23 ID:6Cm+CkDE0.net 24 ：風名し

>>16
名目上は経路上での盗聴防止と誤送信した場合にPW送る前に気づけばセーフ理論や
但し経路上で登頂される場合同じ経路でPW送ると意味がないし悪意のある相手に誤送信した場合PW通知しなくてもブルートフォース攻撃で簡単に解除できるので意味がない

21/10/29 18:23 ID:t8qOC1vwp.net 27 ：風名し

>>20
その上時間の無駄

21/10/29 18:24 ID:tBq1DP1z0.net 28 ：風名し

>>20
せやろな
てかこの方式ってどこで推奨されたせいで広まったんや？

これもマナー講師によるものじゃないかと思うわ

21/10/29 18:24 ID:QTMDIi60M.net 18 ：風名し

パスワードは直接出向いて伝えるよね

21/10/29 18:22 ID:00vGbJOr0.net 19 ：風名し

いつもの4文字(電話番号下4桁)とかあるけど普通に総当りで解読できるしな

21/10/29 18:23 ID:6Cm+CkDE0.net 26 ：風名し

>>19
弊社は安全性を考慮してP@ssw0rd+電話番号や😤

21/10/29 18:24 ID:vUTfnOYYp.net 68 ：風名し

>>26
これええやん
すぐバレるん？

21/10/29 18:35 ID:7e1T1HuKp.net 78 ：風名し

>>68
秒で死にそう

21/10/29 18:39 ID:kPGIcu3qd.net 85 ：風名し

>>68
似た記号に変換とかシーザー暗号は割とメジャーな方式やから普通にバレる

21/10/29 18:40 ID:Ln8NhKqx0.net 25 ：風名し

パスワード付のzipファイルを更にzip化しろ

21/10/29 18:24 ID:VpzMS5gxd.net 29 ：風名し

ワイやったらストレージサービス導入するけどな
URL送ってダウンロードはここからしてねって感じで
ダウンロード履歴も残るし一石二鳥やろ
こういう違いを生み出せるワイみたいな男こそがこれからの時代を生き残れるんやろうな

21/10/29 18:25 ID:Y3zE7amF0.net 30 ：風名し

>>29
昔それで情報流出なかったっけ

21/10/29 18:26 ID:tBq1DP1z0.net 31 ：風名し

>>29
情シスのおっさん「他社のサービスに機密情報を預けるなんて怖い！」

21/10/29 18:26 ID:fII1FRtkp.net 55 ：風名し

>>31
メールは他社のサービスじゃないんですかね

21/10/29 18:32 ID:f+Spoq0y0.net 32 ：風名し

パスワードはファックスやろ
1.メール送信
2.メール来たことを電話で確認
3.ファックス送信
4.ファックスしたことを電話で確認

21/10/29 18:26 ID:/vvI3AvXd.net 35 ：風名し

パスワードはFAXで通知するって政治家が言って
なんかバカにされてたけどセキュリティ的にはその方が正しい

21/10/29 18:27 ID:Z0tzkVgAM.net 43 ：風名し

>>35
これ
全く別の伝送路やしな

21/10/29 18:29 ID:Fk+eW0P9M.net 44 ：風名し

>>35
別経路という意味では正しいけどFAXは機械の近くに相手が立っていないと第三者に見られるリスクが爆増するから論外や

21/10/29 18:30 ID:Ln8NhKqx0.net 48 ：風名し

>>44
パスワードだけバレても
実ファイルを受け取って無かったら問題無いやろ

21/10/29 18:31 ID:Z0tzkVgAM.net 71 ：風名し

>>44
相手の執務室について事前に取り決めしとけばええな
クソみたいな事務所しかない会社とは取引しなければオーケーや👍

21/10/29 18:36 ID:ZBL7cslv0.net 47 ：風名し

クラウドに入れて相手のメアド登録しておいてポイーやで
こんなこともできない会社いまだに存在するんか

21/10/29 18:30 ID:+U+Cdxh/0.net 50 ：風名し

まだPPAPやってるんやな

21/10/29 18:31 ID:5EehUOykp.net 53 ：風名し

パスワード付きZIPの問題は情報理論的には実際に難問やからな
鍵配送問題っていう問題や

21/10/29 18:32 ID:RMvvtSWda.net 62 ：風名し

>>53
ちな共通鍵暗号が公開鍵暗号より安全なのに普及してないのもパスワード付きZIPの問題と本質的に同じ理由や
んでそれを解決するために今量子暗号（量子鍵配送）が研究されてるんや
そんな簡単な問題やないんやで

21/10/29 18:34 ID:xGnfT9a8a.net 63 ：風名し

PPAPほんと好き
工数増やしたら価値があると思い込む日本人の習性表れてるよな

21/10/29 18:34 ID:4+liapfR0.net 66 ：風名し

どこまで行ってもFAXの指差し確認と同じレベルでしかないと思うんやが

21/10/29 18:35 ID:XDOboywm0.net 82 ：風名し

>>66
実際そうや
こんなツール使ってない職場でも
宛先なんて絶対コピペするから何も意味ない仕組みや
送信ボタン押してから送信されるまで1分保留する仕組みにしといた方がまだ意味あると思う
ワイはこれで何回か誤爆を未然防止した

21/10/29 18:39 ID:Z0tzkVgAM.net 69 ：風名し

つまり意味ない…ってコト！？

21/10/29 18:36 ID:PHDx71BIa.net 74 ：風名し

>>69
パスワード登録で誤入力防ぐために確認用に二回打たせるぐらいの意味はある
手間が増えるのがクソすぎるけど

21/10/29 18:37 ID:XDOboywm0.net 79 ：風名し

弊社やん
iPadとかにファイル送ると見れんってなるからやめてほしい

21/10/29 18:39 ID:Fz5FC66sp.net 38 ：風名し

今日の8に統一してた方がまだ安全説

21/10/29 18:28 ID:FKJig2e4d.net

編集元：「http://tomcat.2ch.sc/test/read.cgi/livejupiter/1635498837/」

コメントする

コメント一覧 (14)

- 1. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 11:33
- >ちな共通鍵暗号が公開鍵暗号より安全なのに普及してないのもパスワード付きZIPの問題と本質的に同じ理由や
  
  逆だろ
  どう考えたって、公開鍵暗号が共通鍵暗号より安全だろ
  しかも普及していない本質は全然異なる
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- - 9. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
  - 2021年10月31日 15:23
  - >>1
    だよな。公開鍵は別に誰が見ても問題ないわけで、秘密鍵が公開されるってのは受信側の端末がクラックされた時だからな。通信上の安全性なら、公開鍵暗号の方のが断然安全。
    
    普及していないのは、情報と言うものの重要性を理解していない連中が多いから。水と空気と情報はタダだと思っているからな。
  - 0
    
    ジョウ・ジャック・にしき2世
    
    がしました
- 2. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 11:47
- データはクラウドに上げて初回に相手の連絡先登録するほうが何倍も安全。
  毎回データを連絡先に送付するなんて毎回誤送信のリスク抱えるから駄目。
  ただうちの会社新入社員教育でこの「パス付きZIP」と「了解、承知」と「上席はどこ」
  をセットで教えてるからなぁ・・・・
  IT系なのに上司の頭が相当時代遅れ。
  かと思いきやウェブ会議で取引先の画像の位置を上になるようにとか最先端のエセビジネスマナー仕入れてくる始末。
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 3. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 12:00
- >情シスのおっさん「他社のサービスに機密情報を預けるなんて怖い！」
  これ、言葉表面だけ取ってる馬・鹿多いよな、自前の鯖にUPして削除で良いだけの事
  こういう無理解が発想がLINEの情報が鯖に入ってるのを軽視してるし、スカイプも仕様変更で鯖にデータが入る事になった事を理解してない馬・鹿なんだが
  どこまで信頼をおくか、データをフックして覗かれるか、どこまでの情報を外に預けるか、出すか、全く土台の理解が出来てない証明をこの一文でしているわけでな
  攻撃に晒される可能性や場所を減らす、第三者やシステムを介入させない事が機密保持の第一歩やぞ
  
  PASSとか普通にFAXや直接赴いた時に使い切りの媒体にいれるか、紙ベースで渡せばいいだけの話なんだがなって
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 4. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 12:06
- 機密データの保持何ていくら金をかけれるか（鯖や技術者の確保etc）があるので
  クラウドに全幅の信頼置いてもいいし、自前で揃えてやるならやれば良い
  その代わり技術者や維持設備とか考え方によって信頼度も質も変わる
  今でも機密データとか顧客情報をネットワーク介在せずに記憶媒体に入れて運ぶ所はあるし、それが一番安全だったりするが、その手間をどう認識するか
  手間を減らす分のリスクをどう対処するかの差よ
  
  この辺りの思考が出来てない連中が議論してるから頭悪いとしかいえん
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- - 13. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
  - 2021年11月02日 06:50
  - >>4
    セキュリティも結局は
    情報の価値とコストの評価の問題なんだ、とか習ったなー
  - 0
    
    ジョウ・ジャック・にしき2世
    
    がしました
- 5. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 12:24
- パス付きzipは悪だと何年も前から言われてた
  やっとこさ日○が止めて、IPAが公表した
  ガイドラインが変わらない限り悪の習慣をやめられないクソみたいな日本企業ばかり
  小さいころから前に習えばっかしてるツケ
  教育の敗北
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 6. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 12:39
- なんでこんな高度かつ限定的な技術情報が流れんのやろって一時期考えたんや。というか外国人や派遣がめちゃくちゃ出入りしてるのに情報関係のコンプラガバガバやんって不思議やったんや。
  
  結果として現場も上層部も情報共有できてなくて誰も詳細を説明できんし、そもそも何らかの媒体に詳細書いてないからバレへんのや。みんな言われたことをなんとなくやってるから技術が流れんのや。よく流出を警戒してるけどそれはマジでガチ一部の企業だけで中小は盗むの激烈に難しい。それこそ10年くらい潜伏して部長くらいまで昇進して初めて全容の一部が理解できるとかそんなん。
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 7. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 14:32
- PPAPはセキュリティ専門家が意味ないから止めろと前々から言ってる。万が一ZIPファイルが流出したら、その流出した経路で確実にパスワードも見れるわけだからね。しかもPPAPはウィルス検査出来ないという最大の欠点がある。実際にそれが原因で感染した例もある。PPAPが有効なのは添付ファイルとパスワードを別の手段で送った場合のみ。メールで添付ファイル送ったらパスワードは電話で口頭で伝えるとか、SMSで伝えるとか、封書を送るとか。別のメールにしても同じメールという手段では全くの無意味。今だと相手を指定してクラウド経由で送るのが最もいい。残念ながらそれも完璧というわけではないが…。
  
  最近ようやく官公庁や大手企業ではPPAPを止めたところもあるそうだが、未だに使っている情弱企業は多数存在する。
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 8. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 15:00
- PPAP絶賛やらないよりはやったほうが安心感がある。
  安心感のためにあの手この手を使うのに意味ないとか理解しかねる。
  
  クラウドはクラウドが攻撃されたら終わり。
  クラウドのほうが集中的に攻撃される恐れがあるから駄目。
  フリーソフトも駄目、万が一通信傍受する機能が組み込まれているかもしれないので駄目。インストールしなくてもいいやつでも駄目。USBもだめ、穴は塞いでケンジントンロック。
  メール・電話・FAXが先進的かつ正しい情報管理。
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 10. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年10月31日 16:20
- お偉いさんに「パスワードがかかってないやん！パスワードさえあれば後は何でもいいの！」ってゴネられて脳死で作った感あるわｗ
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 11. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年11月01日 21:27
- 基本情報で公開鍵とか暗号鍵とか何かイメージつかんなーって勉強してたけど
  こんなあほなことだったのか
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 12. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年11月02日 06:43
- メールを使う限り宛先を間違えるリスクからは逃れられん
  何人か言ってるけどクラウドに置いて共有するのが一番だろうね
  クラウドより高いセキュリティを自社で組めるわけないし
  それが嫌なら暗号化外付けHDDとかに入れて直接持ってけ
  
  共通鍵方式と公開鍵方式どっちが安全なのとかいう話はそもそもおかしい
  パフォーマンス上の問題から、情報本体は共通鍵方式で暗号化して
  その鍵を公開鍵方式でやりとりするのが一般的のはず
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました
- 14. 自他とも認めるﾊﾟｰﾃｨﾏﾝ
- 2021年11月07日 13:52
- 大手はPPAP対策で続々と富士通のConfidential Posting使い始めてるな
- 0
  
  ジョウ・ジャック・にしき2世
  
  がしました