「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか 記事に、「昔からの情シスを計る物差し」「早く廃止してくれ」など感想ツイート

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか https://news.yahoo.co.jp/articles/eb05cb22f4a329a689fb4840023af6c1fef69f23  平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。
50
リンク Yahoo!ニュース 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) - Yahoo!ニュース 平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボ 3 users 148
【イラスト図解満載】情報セキュリティの基礎知識

中村 行宏,四柳 勝利,田篭 照博,黒澤 元博,林 憲明,佐々木 伸彦,矢野 淳,伊藤 剛

ばい”THE”しー @BYzaSEA

大手の住宅関連会社は大抵使っている。 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース news.yahoo.co.jp/articles/eb05c…

2020-11-24 19:23:55
暁(いー) @ninjadegozaru

昔からの情シスを計る物差し(´ ` ) 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース headlines.yahoo.co.jp/hl?a=20201124-…

2020-11-24 19:26:06
tuka @tuka7777

早く廃止してくれ。 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) headlines.yahoo.co.jp/hl?a=20201124-…

2020-11-24 19:39:20
いで @idescimath

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか news.yahoo.co.jp/articles/eb05c… 個人的にはパスワード付ZIPファイル作成に使われるのがLhaplusになる事が多いんだろうけど、フリーウェアをわざわざ入れてまでパスワードかける意味があまり見出せない。

2020-11-24 19:40:34
三十路のタヌキ(ゴロ寝) @raccoondog_pop

こういう理由だったんか~。 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか itmedia.co.jp/enterprise/art…

2020-11-24 19:43:10
KITA@某警備府減衰 @KITA__13

PPAPは滅ぶべき慈悲はない 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか itmedia.co.jp/enterprise/art…

2020-11-24 19:53:25
えすえぬ @sn056jp

外部に漏れたら困るような物はEメールで送らない方がいいよ。 契約書や領収書が外部に漏れたら困る?それはやましい事があるからじゃないの? --- 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか mixi.at/ai8C05Z

2020-11-24 20:01:51
りょうと @ryoto_bs

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか / itmedia.co.jp/enterprise/art… 会社間なら「御社の公開鍵で暗号化しました」ってのもありだと思うんだけどなぁ PGPまだ息してるんだろうか…

2020-11-24 20:04:04
ゆみこ @yumiko178

え゛バ○なの? → "パスワード付きZIPファイルの添付は、パスワードもメールで送信している" 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか itmedia.co.jp/enterprise/art…

2020-11-24 20:21:21
fuka@無気力 @africaan43

zip付きのメールを盗れるならその前後に送られるパスワードはこれですメールも盗れるよね 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース news.yahoo.co.jp/articles/eb05c…

2020-11-24 20:30:06
Kensuke Adachi @daidohmumon

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース news.yahoo.co.jp/articles/eb05c… 一番の問題は会社のメールシステムをすり抜けてデータが出ていったり、入ってきたりすることでしょう。これは問題だ。

2020-11-24 20:30:21
すけお@北海道 迷わず行こうぜ信じる道 @o________suke

以前からほとんど意味がないことはわかってた。けどアホなうちの職場はなぜか最近これをやめるどころか、新たに始めた。 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース news.yahoo.co.jp/articles/eb05c…

2020-11-24 20:31:12
山貝@scrambleなP @_amayiak

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) news.yahoo.co.jp/articles/eb05c… >手間がかかる割にほとんど意味がありません。 これが本質情報なんだよなぁ。

2020-11-24 20:32:22
優しさライセンス @hase_taku1

この方法は時代にそぐわない 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース news.yahoo.co.jp/articles/eb05c…

2020-11-24 20:37:32
まろたん for Christ @marotan1026JC

パスワードは、電話連絡だろ。常考。 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか - ITmedia エンタープライズ itmedia.co.jp/enterprise/art…

2020-11-24 20:39:15
超みみず @mimizu33

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) headlines.yahoo.co.jp/hl?a=20201124-… PPAPが脆弱なのはわかるが、じゃあどうやってやり取りすればいいんですかね? クラウドストレージなら絶対に安心なんですか?

2020-11-24 20:40:40
ごまちち @goma_tichi

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース やっと記事にしてれましたか!前から意味ないと思ってました。 そして受け取る側は手間でしかないのよ(笑) 重要な添付とそうでない物の使い分けが大事。 headlines.yahoo.co.jp/hl?a=20201124-…

2020-11-24 20:40:51
ケイゾクなるままに おーちゃん! @bukuro_saiko

>最も深刻な問題は、メールのセキュリティ機構をすり抜けることです。 メールサーバーで暗号化ファイルがすり抜けるなら、S/MIMEも「危険」ということ? 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース news.yahoo.co.jp/articles/eb05c…

2020-11-24 20:42:18
@vvknkkswkkvv

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか itmedia.co.jp/enterprise/art… あーそりゃ無意味っすね…

2020-11-24 20:44:29
†とい† @tswi

“当たり前ですがパスワード付きZIPファイルは、パスワードがなければ開けないため、パスワードを知られなければ誰にも見られません。”ダウト。ファイルを盗まれれば総当りで解かれる。 / “「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか - ITmedia …” htn.to/oHLSYwgNBf

2020-11-24 20:45:53
ぴーたー @sabotenpita

「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか(ITmedia エンタープライズ) #Yahooニュース headlines.yahoo.co.jp/hl?a=20201124-… 昔はパス付Zipなんてウィルスの代表格だったのに いつのまにかセキュリティ側になってて驚いたわ

2020-11-24 20:46:22
残りを読む(20)

コメント

trycatch777 @trycatch777 2020年11月24日
あらかじめ双方で決めたルールで良かぅたり、違う手段で伝えればいいのに、バカの一つ覚えみたいにパスワードをメールで送るからなぁ…
2
櫻子。@BOOTHでもちマス帽子頒布中 @sakurago_cc 2020年11月24日
手間考えたら専用ファイル転送サーバ使うのとそう変わらないので、お客様がいいならどっちでもいいです。会社としてのセキュリティに対する姿勢などは絶対的にお客様のほうが上であるはず(会社の規模知名度業種的に)なので。
0
RGB000 @19666_61 2020年11月25日
サーバが自動でPPAPに変換するシステムもあるらしく
0
Shiro @shiromagenta 2020年11月25日
zipだとはねられるから、圧縮したら拡張子いじって送ってください、って言ってくる取引先がいたな
7
刺身定食 @usytata 2020年11月25日
私はほぼファイル転送サービスで送ってますが、追加コストかからない、コンピュータリテラシの低い人にも使えてセキュア感を感じさせることができる、これらの点で PPAP を上回る方法はそう簡単には見つからないですよ。
6
SAKURA87@多摩丁督 @Sakura87_net 2020年11月25日
パスワードを後で送る運用も、ファイルを送った後に宛先を確認して、相手に到達確認を入れてから改めてパスワードを送付すれば一定の意味はあると思うんで。全く無意味な運用とも言えないのだけど。そこまでして態々セキュリティの殆どないメールで送るより、それこそクラウドに置いてURL送信の方が余程安全だからな。
2
SAKURA87@多摩丁督 @Sakura87_net 2020年11月25日
しかし、ほぼ初対面でも特別なソフトが不要で、ある程度の漏洩対策が出来る方法って他にはクラウドストレージくらいしかないと思うので。FAXみたいに一定の条件で今後も残り続けていくんじゃないのかね。うちの会社も基本は自前のストレージサービスで送っていたけど、一部漏れてもいいけど、関係者以外に知られたくない物など、パスワード付きzipの運用も条件付きで残っていたし。
2
フ一口 @fu_hitokuchi 2020年11月25日
心ばかりの抵抗でパスワードはいつものですと言ってる
2
inu@聖地の合間 @inu_uni 2020年11月25日
あーストレスチェックを委託してる会社がまさにコレで、個人情報に関わる内容ならいざ知らず実施スケジュールとか全く個人情報書かれていないファイルまでコレで送ってきてウザすぎるんだが…
1
いくら @YamadaIkra 2020年11月25日
そんで今度は、外部ストレージのアクセスURLとパスワードを両方メールで送るんですよ
1
Bauer @WorldLeaf 2020年11月25日
なんかOutlookって自動でこれにならん?そら分かってる人はOutlookすら使わんやろうけど。いや、なんか誰が設定してるんかな?
0
もっこㄘん @Mokko_Chin 2020年11月25日
どうせパスワードも適当だろうからpikazip辺りで解除出来るしマルウェア検査もできないとな。
0
SAKURA87@多摩丁督 @Sakura87_net 2020年11月25日
WorldLeaf ならん。多分御社のシス管がなんか入れてる。
7
たし @punimuchiya 2020年11月25日
WorldLeaf それはたぶんメールサーバ側にそういうのが入ってんじゃないかな? fenceとか
5
Earwax @Earwax97409510 2020年11月25日
どうせすぐ後にパスワード送られてくるんだからそれ使って自動で復号してウイルススキャンも済ませて受信者の手元に届けてほしい。暗号化zipの受信が遅くなる?仕方無いだろうそういう負荷を受信者に強いる事を送信者が望んだんだから。
0
ざっぷ @zap3 2020年11月25日
「クラウドストレージなら完璧なん?」みたいなツイートあるけど、ちゃうねん、そっちが安全て話やなくてzipが弱いねん、て書いてるのにな。
7
ざっぷ @zap3 2020年11月25日
クラウドストレージというかアクセス管理されたファイルサーバーならアクセス者や公開期間を絞れるから「時間かけたら破れる」パスワード付zipよりマシ、という話だからね。もちろんアクセス権限をちゃんと管理してなきゃダメだけど、それはzipにパスワードかけてないレベルの話だし。
4
oppappi @oppappi112 2020年11月25日
元々アドレス間違えて送った際のセーフティって印象だったけど傍受とかそれ用ではないわな
3
さとうあきひろ @akihirosato1975 2020年11月25日
自動PPAPというと、日本での代表格は多分これだと思う http://www.playbackmail.com/
1
Kyrie @Kyrie_u_eiryK 2020年11月25日
同じ種類の情報なのに、自治体によってはオープンデータで公開したり、堅苦しい申請書類郵送→パス付きZipでの提供だったり、バラバラなのは何故だろう…。 パス付きZip派の自治体文書は、見栄え・印刷重視で、無駄なスペースの連打やセル結合多用な傾向。
0
ぽんぽん @apocalypse1706 2020年11月25日
もちろんこのまとめはそのとおりだが、そこでなぜ「電話でパスワードを通知する」って発想が出てくるのかというw
0
金目の煮付 @kinmenitsuke 2020年11月25日
何も考えない人による無用な転送への防御の一つでしょう。「フェンスを切れば入れるのだからフェンスは無意味」と同じような論説に見えます。
2
TAKAMAGAHARA @SILVER_CAP 2020年11月25日
問題は、これを解決するソリューションを誰も考案できてないってことだな。だから未だに根絶されない。
2
PUNTE @PUNTE1113 2020年11月25日
パスワード解析されるからってのもある。 gpu解析を用いれば個人レベルのパソコンでも8桁を数時間で解析できるからねぇ。
2
ぽんぽん @apocalypse1706 2020年11月25日
SILVER_CAP いや、解決することが目的じゃないよ。この問題の論点は「メールが傍受されているなら同じメールアドレスで送るのは無意味の極み」ってことだから、別のルート使えばいいんだよ。それこそヤフーでやってるパスワード使わずログインする方法とか、パスワードはチャットツール経由で送るとかそういうこと。
1
Earwax @Earwax97409510 2020年11月25日
PUNTE1113 それってデータ有ります?自分が見つけた物では5万のグラボで10年でした(探索完了であって解析完了ではないけど) https://toson.netlify.app/2020/08/12/hashcat-pdf/
0
さどはらめぐる @M__Sadohara 2020年11月25日
ウチの業界はセキュリティー意識が高すぎて、紙原稿での受領がいまだにあるし、メールにしてもタイトルどころか本文すら一文字もなく添付ファイルの名前も適当なのに、以心伝心レベルで行うべき作業内容がつかめるとかいう恐ろしく原始的な方法が残ってますよ
0
さどはらめぐる @M__Sadohara 2020年11月25日
そもそも客がパソコンでメールチェックしてるかっていうとそんなことないのよな。24時間体制で動いてる業界だとスマホでデータチェックしてるからパス付は敬遠される
1
E音 @strains_e 2020年11月25日
「パスワードはabcdです.pdf」という斬新なファイル名のパスワード付きファイルを受け取ったことがある。
2
ざっぷ @zap3 2020年11月25日
Earwax97409510 横からだけどzipファイルのパスワード解析についてのデータとしてこんなのもある。8桁はそこそこかかるけどそんな10年もかからないということになってる https://keepmealive.jp/8letters-danger/
1
Earwax @Earwax97409510 2020年11月25日
zap3 「11年前のハイスペPCだと23年」としか書いてなくないですか?security.orgのデータはスペックが不明…
0
金目の煮付 @kinmenitsuke 2020年11月25日
何年もかけて解析するような価値のあるデータをzipでやり取りしてるもんなんですかね?
0
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2020年11月25日
「パスワードは次のメールで送りますをやめる、クラウドストレージなど別の手段を検討中、現時点では早急にできる対策として、パスワードをメール以外の方法で送る」という国の発表が何も間違ってない、という結論だあね。メール以外の連絡手段は電話かFAX以外になく、出力先で放置される可能性のあるFAXよりマシ。
4
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2020年11月25日
反射的に「電話とかw」って言ったり、この記事見て「暗号化ZIP自体が意味ない暗号化しない方がまし」と言ってるレベルの人は、言ってる通りに「クラウドストレージやPGPの利用が決まるまでの間、無駄な暗号化をやめて添付ファイルそのまま送ります」だったら「何も対策してない!」って言い出した人でしょ。
2
例のあれ @n_and_a_dad 2020年11月25日
俺が昔いたところだとパスワードは特定のルールで自動的に決まるし変わるものだったので毎回覚える必要もなかったしパスワードそのものをどこかに書くのは禁止だったな そういう風に「パスワードを伝える」というプロセスを切れるだけでもだいぶ違うと思う
3
ぽんぽん @apocalypse1706 2020年11月25日
電話でいまどきの複雑なパスワードやりとりできると思ってるとしたらそれこそ大笑い
1
ざっぷ @zap3 2020年11月25日
Earwax97409510 そんじゃこれ、2080Ti使って2019年の報告で2.5hr。てかこの辺、適当なワードでググってるだけなんで。
1
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2020年11月25日
PPAPPPAP繰り返すから脳内でピコ太郎が暴れてるのは俺だけかな
4
やし○ @kkr8612 2020年11月25日
サイボウズのガルーン、というかサイバーメールのデフォルト機能にPPAPがあるらしくそこに関してはくたばれと思っている
0
あらⓅ★ @arapix 2020年11月25日
ウィルスチェックを回避できるから、検証用のウィルスをメールで送る時に使ったよね。
0
TAKAMAGAHARA @SILVER_CAP 2020年11月26日
apocalypse1706 メールでパスワードを送る慣習がなくなる事を「解決」というニュアンスで書いたつもりでした。
0
Tsuyoshi CHO @tsuyoshi_cho 2020年11月29日
パスワードの別経路はそうなんだけど、AESつかいたい(OSでdecodeできるのZIPCryptoだけなのつらい、macはどうなんだろ?)
0