システム屋まそお

パスワードをなるべく安全に届ける方法

security
ruby
rails

こんにちは。システム屋まそおの舩原です。

皆さんは、相手に送るファイルのパスワードをどのように伝えていますか?

  • 添付ファイルの付いたEメールの本文にパスワードを書く?
  • 添付ファイルとパスワードを別々のEメールで送る?
  • それとも電話で伝える?

これはとても難しい問題です。
「経路上での漏えいをどう防ぐか?」という点が重要ですが、自分だけでなく、相手の情報セキュリティーの能力にも依存します。

一番望ましいのは「安全を確立した経路でパスワードをやり取り」ことですが、それにはコストや労力がかかる場合があります。

この記事では、パスワードをなるべく安全に届ける方法をご紹介します。
ただし、ここでご紹介する方法には信頼性に不安がある点やリスクが伴う場合があります。
そのため、考えられるリスクについても可能な限りご紹介しますので、それらを十分に検討した上で、許容できるかどうかご判断ください。

パスワードを安全に届ける方法と想定されるリスク

  • 直接会って伝える
    一番安全な方法ですが、相手との距離が離れていればいるほど、手間がかかります。

  • 電話する
    簡単な方法の一つです。電話に出た相手が本人かどうか確認できれば安全です。
    リスクとしては、以下のような事が考えられます。

    • 相手が電話に出れないと伝えられない。
    • 本人になりすましている。
    • 電話のそばで聞かれている。
    • 盗聴器がしかけられている。
  • メッセージングアプリ(Line他) を使って伝える
    簡単な方法の一つです。Line / Facebook Messanger など https通信を行っているので、経路上で盗聴される可能性は極端に少ないです。
    リスクの一つとして、提供会社がメッセージの内容を盗聴する可能性があります。
    ただ、最近のアプリでは、提供会社でさえメッセージの内容を読み取れないような仕組みを提供しているところがあります。
    Line の Letter Sealing, Facebook Messanger のエンドツーエンド暗号化などが該当します。
    ほかのリスクとしては、以下があります。

    • 相手が同じアプリを使っていないと伝えられない。
    • スマートフォン紛失時に、のぞき見られる可能性がある。
  • ビデオ通話アプリを使って伝える
    こちらも簡単な方法の一つです。 Zoom / Google Meet などで、口頭で伝えます。
    リスクとしては、電話とメッセージングアプリを合わせたような問題が想定されます。

  • チャットツール(Slack他) を使って伝える
    Slack, Microsoft Teams, Chatwork などのチャットツールでパスワードを伝えるのも簡単な方法の一つです。
    https通信を行っているだろう事が想定されるので、経路上で盗聴される可能性は極端に少ないです。
    ただ、提供会社さえ読み取れないような暗号化を提供していない事があるので、提供会社の内部不正や、法的手続きによって漏洩する可能性があります。

メールにパスワード、暗号化されたファイルは絶対だめ!!

暗号化されたファイルをメールで送り、次のメールでパスワードを送るという手法がありますが、これはよくある間違いです。
この手法は PPAP (セキュリティ) という名称がつけられており、非推奨を呼びかけられています。
主なリスクとしては、

  • メールの送り先を間違えた場合に、添付ファイルを容易に開けられてしまいます。
  • 電子メールの仕組み上、経路で盗聴されるリスクがあります。

パスワードを安全に送れませんのでやめましょう。

2024/12/28 更新

この記事は、安全にパスワードを送るためにどうしたらいいかを考えた記事です。
いまだに読まれているようなので、10年近くたった事もあり、現状に即した内容に更新いたしました。
過去の内容を読まれたい方は、Internet Archive をご覧ください。
》Internet Archive過去アーカイブ