読者です 読者をやめる 読者になる 読者になる

職業プログラマの休日出勤

職業プログラマによる日曜自宅プログラミングや思考実験の成果たち。リアル休日出勤が発生すると更新が滞りがちになる。記事の内容は個人の意見であり、所属している(いた)組織の意見ではない。

謎プロトコル(電子メールのお話)

Twitter上でよく流れてくる愚痴の一つに「謎プロトコル」というのがあります。

謎プロトコル(protocol:通信の手順)とは、企業間(場合によっては企業内)で機密情報をやり取りする際に、機密情報を暗号化されたzipファイルとして電子メールで送信し、その後でzipのパスワードを送信する、というものです。「暗号化されたzipファイル」は一例であって、他の暗号化方式や圧縮方式である場合もあります。パスワードを先に送信するケースもあります。
会社によっては、独自の方式で暗号化したデータを自己解凍の .exe で送信してくるところもありますね(パスワードは謎プロトコルに従って送られてくる)。そういう会社さんとはなるべく取引したくないものです。イマドキ .exe をメールで送りつけるなんてねぇ。まあこういう古巣を叩く発言も一種のブーメr(略

さて、日本企業の多くでこの謎プロトコルが採用されている訳ですが、残念ながら、在豪の日系企業でも似たプロトコルが採用されてしまっています。じゃあ日系企業じゃないオーストラリアの企業はどうなのかと言うと…実はもっと適当だったりします(汗
まあ、これは僕の観測範囲での話なんで、ちゃんとしてるところはちゃんとしてると、、信じたい。。

謎プロトコルはどのような脅威に対する対策なのか?

  • 電子メールの盗聴
  • 電子メールの誤送信(アドレス間違い)

謎プロトコルは、これらの脅威から大事なデータを護っていると言えます。

何が我々を落胆させているのか?

この謎プロトコル、パッと思いつく限りで、以下のような脆弱性を指摘することができます。

  • 暗号化zipなんか、パスワード総当たり攻撃でイチコロ
  • 通常、電子メールの盗聴は単一のメールに対する盗聴にはならず、電子メールアカウント丸ごとの盗聴となること
  • もしも1通目のメールを誤送信していた際に、それを検知する仕組みが無いこと

もちろん、僕よりもずっと賢い技術者さん達は、他にも色々と指摘することができるでしょう。要は、謎プロトコルは「ほとんど効果が無い」訳です。このような無意味かつ面倒臭い手順を踏んで機密情報をやり取りすることは、我々の気分を損ねる一方なのです。

謎プロトコルのちょっとした改善

どうしても謎プロトコルを使わざるを得ないとき、僕は可能な限り、次のような手段を講じます。

  • 暗号化手段をまともにする(総当たり攻撃への少しばかりの抵抗…)
    • 通常のzipの暗号化ではない方法で暗号化する(敢てマイナーな手段を使う:盗聴者がバカだった場合のみ有効な手段)
    • 拡張子を変える(これも盗聴者がバカだった場合のみ有効な手段)
    • パスワードをめっちゃ長くする(これはけっこう効く)
    • 等々。。
  • パスワードは、ファイルを送信した手段とは別の手段で送信する(メール盗聴に対する防御)
    • 電話で伝える
    • SMS(日本なら携帯メール)で伝える
    • 事前に安全な手段で渡してある乱数表を使う(でもこれは激しく面倒臭かったw)
    • 等々。。
  • 1通目のメールを送ったあと、2通目のメールを送信する前に電話などで到着確認をする(メールアドレス間違いを検知する仕組み。でも送信先アドレスが多いと大変。もちろんパスワードは別手段で伝える方が良い。)

これらの手段、やらないよりは随分とマシです。

もっともっと、まともな手段

問題点だらけの謎プロトコル。じゃあ代替手段は何なのでしょうか?

  • ファイルはメールじゃない方法で送る
  • S/MIMEなど
Dropboxやボウズ等の外部サービス

DropboxやサイボウズLiveといった手段は他の会社にデータを預けるということで抵抗のある人・会社さんも多いでしょうけど、これでも謎プロトコルよりはずっとずっとセキュアなのです。
おたくのメールサーバ、どこの会社が管理してますか?
送信先の会社のメールサーバ、どこの会社が管理してますか?
大きく分けて3つの通信経路(送信元の担当者のPCから送信元企業のメールサーバまで(SMTP/HTTPS)、送信元企業のメールサーバから送信先企業のメールサーバまで(SMTP)、送信先企業内(POP3/IMAP4/HTTPS))は、どこの会社が管理してますか?
そう、DropboxやサイボウズLiveは、これらの会社の中に悪い人(または深刻な脆弱性)が居たらイチコロですけど、謎プロトコルは他にもイチコロになるポイントが沢山あるのです。もしも仮に、各社同じ確率で悪い人が潜んでいる可能性があると仮定したとき、リスクが1点だけの手段と、5点もある手段とでどちらが優れているかなんてのは一目瞭然です。

自鯖

それでも外部は怖い、というのであれば、自分でファイル交換用のサーバを立てることになりますね。もちろん、まともな担当者が立てないと謎プロトコルよりも危険なんて事態になるので、これは資金(や人的資源)が豊富なところだけが取れる手段ですね。

S/MIMEなど

S/MIME - Wikipedia
電子メールのセキュリティとしては、やはり、こいつらが本命です。
もちろん、会社間の情報のやり取りをメールに頼る、という場合の話ですが。個人的には企業間のやり取りはファイルに限らずサイボウズLive的なサービスを利用したいと思っているので、なんとも。。

何故、謎プロトコルが蔓延するのか?

  • リスクの評価ができていないから
  • 対策を知らないから
  • 取引先と足並みを合わせる必要があるから面倒臭いから

というところでしょうか。いずれの原因にしても共通して言えるのは「教育が足らない」ということです。教育と言っても色々あります。会社内での教育もあるでしょうし、このご時世、こういう話は高校とかで取り扱ってもらって欲しいものです(実際に取り扱ったところで効果が出るのかどうかはわかりませんが)。
ま、一番必要なのは、会社の中で決定権をいろいろ持っている層への教育ですね。

謎プロトコルに名前を

脆弱であるこのプロトコル、もちろん軽蔑の気持ちを込めて「謎プロトコル」と呼んでおられる方がそれなりに居られる訳ですが、やはり名前を付けたいですね。
EZoS (Encrypted-Zip over SMTP)
とかどうでしょう?
あんまり格好良い名前を付けちゃうと謎プロトコルが蔓延することに繋がるので、できればもっとダサい名前(珍走団みたいな)にしたいものです。

何故、今更こんな記事を?

ここ数ヶ月間でTwitterにおいて嘆きの声を色々見かけたからってのもありますが、つい最近、この謎プロトコルの亜種が在豪日系企業を蝕んでいるのを目の当たりにして落胆したからです。どんな亜種なのかはここでは触れません(触れることができません)。
教育しなければ。。。