令和時代に当たり前を疑い捨てるべきIT、ネット上の悪しき習慣

2019年大晦日になりますが、Qiitaに『我が意を得たり』
と膝を打った記事がありました。

Qiitaとは、「プログラマの問題解決サイト」として
プログラマーの情報共有に特化したソーシャルメディアです。

私自身はその昔、IT技術者ではありましたが
すでにその方面では引退して、技術屋さんあがりの
営業、マーケティング、法務、監査等の道を歩んでいます。

その意味ではプログラマでもなんでもありませんが、
時に濃くて面白い記事を発見することがあるので
たまにQiitaを覗いている感じです。

平成のうちにやめたかった『ITの7つの無意味な習慣』

その秀逸な記事タイトルがこれ（↑）でして、
会社勤めをしている方であれば、なんでこんなことするんだろう・・・
という人もいれば、やっていて当然だと確信している人もいる、
そのような内容です。

詳細はこちらからご覧いただけますが、
ここでは特に、『これ！これ！』と
ずっと私自身も疑問視していた話題を考察します。

かねがね疑問視していたことは、この記事のうち

• パスワードの定期的変更、パスワードでのログイン
• パスワード後送信付きZIP暗号化ファイルメールの無駄な処理
• 2要素認証でない「2段階認証」

の３つです。

それぞれ聞いたことも、使っている人も多いと思います。
ただ、何も疑うことなく妄信することは危険です。

これらは日本がガラパゴス化している状況を加速させ
本来の目的を忘れ、事業効率の低下も招いていることを
理解しておく必要があります。

パスワードの定期的変更、パスワードでのログイン

企業によっては、特に国内IT大企業ほどこれを強いている傾向にあります。

このせいか、右に倣えでIT大企業がそうしているなら
同じように・・・ということで例えば3ヶ月程度に1回
パスワードを強力なものに変えるように要求してきます。

しかもアルファベット大文字、小文字、数字、特殊記号などを
混ぜたパスワード作るよう、それが『セキュリティ強度』を高める
施策であると。

確かに、意味があるように感じます。
しかし、面倒ですね。

その面倒なところに、セキュリティの穴が存在します。
なにしろ、Microsoft自身が無意味だと認めているくらいです。

Microsoftは昨年4月にこう述べていました。

人は覚えにくいパスワードを割り当てられたり作成するよう強いられたりすると、
他人から見える場所にパスワードを書き留めることが多い。
また、パスワードの変更を求められると、忘れないように
「既存のパスワードに予測可能な小さい変更を加えることが多い。

パスワードを定期的にリセットするのは、
昔からある時代遅れの緩和策で、非常に有用性が低い。

というよりはるか前に・・・
米国立標準技術研究所（NIST）は2009年4月に
この慣行を批判していますので、詳細にご興味あれば
こちらもご覧になってください。

セキュリティの専門家からみれば、この古い習慣は
安全性を担保するには程遠いという認識なのですね。

パスワード後送信付きZIP暗号化ファイルメールの無駄な処理

これなんですが、だいぶ前からネット上では
「PPAP」なる言葉で揶揄されておりました。

ピコ太郎のあれをもじっています。

【P】asswordつきzipファイルを送ります
【P】asswordを送ります
【A】n号化（暗号化）
【P】rotocol

このルール、できた当初はそれなりに役立ったと思います。
しかし、未だに多くの企業や役所でも『当たり前』という感覚で
使われている実態があるのをご存じの方も多いと思います。

ただこれ、日本特有のガラパゴスルールなんですね。

海外の企業等とのやりとりで使うと、この行為自体
非常に訝しがられる可能性が高いです。

このパスワード後送り方式には以下の
セキュリティ事情を失念していると思われます。

• パスワードは容易に解読されうる。
• ネット上の盗聴対策にはなっていない。
• 誤送信対策にはなっていない。

パスワードなるものは現代の技術で割と簡単に解読されるので
そもそもパスワード信奉自体が危険ではあるのですが、
ちょっと分かりにくいのは2個目の『盗聴対策になっていない』ところでしょう。

これは、メールサーバーやネットワーク経路で盗み見ようとすると
それは技術があればできないことではない、という現実があるからです。

『誤送信対策にはなっていない』のはすぐにお分かり頂けると思います。
メール送信先を間違えてしまうと、パスワードもセットで
その後そのまま送ってしまう可能性が高いので。。。

なお、日本特有のガラパゴスルールではありますが
企業間取引においては、パスワード後送信付きZIPファイルが
『常識』とされていることもあるので注意しましょう。
（企業によってはZIPファイルそのものをファイヤーウォールで除外する
　場合もあり、ZIPをZI_などと変更して送ることをルール化しているケースもあります。）

つまり、このガラパゴスルールに従わないと
送信元に対して情報セキュリティ対策の信用度合いが
変わる可能性もあるということです。

2要素認証でない「2段階認証」

2段階認証と2要素認証は別物です。
ところが、令和元年のセブンペイ停止問題がマスコミで
採りあげられたとき、どうやらこの2段階と2要素を
区別できていないことを私も新聞などで知ったのです。

あー大マスコミでさえこの程度なんだなぁ。。。

冒頭のQiita記事中から引用します。

二段階であること自体にセキュリティ向上の価値はない
(1)「知っていること・記憶していること」知識要素
(2)「持っていること・受け取っていること」所持要素
(3)「自分の身体があること」生体要素

この(1)、(2)、(3)の認証要素を2つ使った認証が「二要素認証」となります。
アメリカの国立の研究所であるNIST （米国標準技術研究所）は、
「二段階認証」の価値を全く認めていません。
NISTのガイドラインには、認証要素とその強度に関する記載がなされており、
高い認証強度を確保するには2つ以上の認証要素が必要とされています。

先ほど引用したMicrosoftの話でも、
2要素認証を採用するように働きかけています。

企業や官公庁でも『これやっておけば安全』
と従来思われていたことが実はそうとは限らない
ことを十分ご理解のうえセキュリティ対応をとってくださいね。

PS

ともあれ、難しい話はさておいても
ホントに毎日嫌というほどスパムメールが送られてきて
Amazon、楽天、銀行、ETCマイレージサービスまで
さまざまに騙った一見ホンモノそっくりサイトへの
誘導がここのところ多くなっているように思います。

ボーっとしてるときに、ついクリックしてしまい
パスワードなど盗まれるトラブルが絶えません。

例えばAmazonを騙ったメールが来た例ですが、

クリックすると、Amazonそっくりさんの
よくできたスパムサイトへ誘導されます。

ここで結構活躍してくれるのがウイルス対策ソフトです。
企業だけではなく個人事業主であっても
ウイルス対策ソフトは導入しておきましょう。

私のPCでは、前記画像にある任意のリンクを
クリックすると以下のように見破ってくれました。