パスワード 
Googleパスワードマネージャーは、Googleア
メールで添付ファイルを送る際に、パスワードを別途送信する方法は一部の人や会社では一つのプロセスとして取り入れられていますが、実際には多くのリスクが伴います。
暗号化されていないメール上では、パスワードがハッカーによって筒抜けになっていたり、メールアカウントのハッキングによる危険性も存在します。
それだけなく、部外者の人間に誤送信してしまい情報漏洩を起こしたり、やり取りのすれ違いなどもあり危険なだけでなく、非常に非効率でもあります。
そこで、このブログでは、なぜ添付ファイルとパスワードを送付するプロセスが一部では根付いているのか、メールで添付ファイルのパスワードを送ることの危険性と、それに代わる安全な方法について解説します。
添付ファイルとパスワードを送付するPPAPとは?
PPAPとは、日本で主に使用されているファイル送信の方法です。
この方法では、パスワードで保護されたZIPファイルをメールで送信し、その後別のメールでパスワードを送信します。
このプロトコルの目的は、万が一ファイルを含むメールがハッカーに盗まれても、パスワードが別のメールで送られるため、ファイルを解凍できないようにすることを目的として使用されるようになりました。
しかし、内閣府および内閣官房で「自動暗号化ZIPファイルを廃止」する方針を示し、PPAP廃止を表明しました。
パスワードをメールで別送する問題点
パスワードをメールで送信することは、一見便利に思えるかもしれませんが、実際には重大なセキュリティリスクを伴います。
ここでは、パスワードをメールで別送することによる具体的な問題点をいくつか挙げて説明します。
フィッシング詐欺にかかりやすくなる
パスワードと添付ファイルをメールで別々に送信することは、受信者がフィッシング詐欺にかかりやすくなるという重大なリスクを伴います。
フィッシング詐欺は、悪意のある第三者が正規の企業やサービスを装って偽のメールを送り、ユーザーから機密情報を騙し取ろうとする手口です。パスワードと添付ファイルが別々のメールで送信されることが一般化すると、ユーザーはこれに慣れてしまい、フィッシングメールと正規のメールを区別するのが難しくなります。特にパスワードと別送される添付ファイルは、一見、普通のファイルに見えても、その中にマルウェアが仕込まれている可能性があります。マルウェアは、ユーザーのコンピュータに侵入し、機密情報を盗み出したり、システムを破壊したりするために使用されます。これらの添付ファイルを見極めるのは非常に困難であり、特に信頼できる送信元を装っている場合、ユーザーは容易に騙されてしまいます。
暗号化されていないため盗聴のリスクあり
パスワードをメールで送信すると、その内容が暗号化されていない場合、第三者に盗聴されるリスクが高まります。特に、公共のWi-Fiを利用したりや脆弱なセキュリティなネットワークを利用しているときに、中間者攻撃などの影響を受けて大事な情報が漏洩する可能性があります。
誤送信のリスク
メールアドレスの入力ミスや、送信先を間違えることで、パスワードが誤って他人に送信されることがあります。
そのパスワードを複数のアカウントで使い回していた場合、そのパスワードを知った第三者によって、他のアカウントを乗っ取られてしまう可能性なども出てきます。
メールアカウントのハッキング
深刻かつ危険なリスクの一つが、メールアカウントのハッキングです。
メールアカウントがハッキングされると、ハッカーは簡単にそのアカウントにアクセスし、そこに保存されているすべての情報を取得できます。この中には、パスワードやその他の機密情報が含まれている可能性が高いです。
一度メールアカウントがハッキングされると、パスワードが漏洩するだけでなく、他の重要な情報も危険にさらされます。
さらに、ハッカーは乗っ取ったメールアカウントを使ってフィッシングメールを送信し、他のユーザーを騙すこともあります。この連鎖的な被害により、企業や個人の信用が失われるリスクも高まります。
スパムフィルタリングによるやり取りのエラー
パスワードをメールで送信する際には、スパムフィルタリングによるやり取りのエラーが発生するリスクも考慮しなければなりません。
多くのメールサービスでは、スパムフィルタリング機能が強化されており、スパムやフィッシングメールを自動的に検出して受信トレイから除外する仕組みが整っています。しかし、正規のメールが誤ってスパムとして分類されてしまうことがあります。これにより、パスワードと添付ファイルの処理を行う上で、業務上の支障が生じる可能性があります。
パスワードをメールで送付する代替案:パスワードマネージャーの5つの魅力
パスワードをメールで別に送信することには多くのリスクが伴います。
そこで、パスワードを安全に共有するための代替案として、パスワードマネージャーが効果的です。
そこで、パスワードマネージャーがどのように安全で便利なのかをご紹介します。
1. 安全なパスワード共有機能を提供する
組織内でパスワードを共有する必要がある場合、パスワードマネージャーは安全な共有機能を提供します。
これにより、パスワードを暗号化されていないテキストメッセージやEメールなどで送るリスクを避けることができます。パスワードを共有する際に、Keeperのようなパスワードマネージャーを使うと時間制限をかけたワンタイム共有や、企業内でログイン情報が漏洩しないように社内のメンバーのログイン情報に詳細な共有制限を強制的に設定することも可能です。
それだけでなく、Keeperのようなパスワードマネージャーはアクセス権限を詳細に設定することができるため、組織内で最小特権アクセスを導入することが簡単になり、アカウント情報へのアクセスを必要とするメンバーに限定して許可することが可能です。
これにより、攻撃対象領域を減らすことにより、不必要なアクセスリスクを排除しつつ、管理の手間を軽減することができます。
2. オンボーディングとオフボーディングの効率化
企業内におけるオンボーディング(新規採用時の導入プロセス)とオフボーディング(退職時の手続き)は、IDとパスワードなどのアカウントの管理が重要となります。
特に退職した従業員による、機密情報の漏洩が近年では、深刻化してきていきます。
パスワードマネージャーを利用すると、新しい従業員に必要なアクセス権を迅速に付与し、退職する従業員から速やかにアクセス権を取り消すことが容易になります。
これにより、企業内にある大事なアカウント情報のセキュリティを維持しつつ、プロセスを効率化し、人的エラーのリスクを最小限に抑えることができます。
それだけでなく、契約社員や短期従業員など、社員の出入りが多い企業では、大幅な時短機能ツールと言えるでしょう。
3. パスワードの記憶が不要になる
多くのアカウントのIDとパスワードを管理していると、それぞれに異なる強力なパスワードを設定し、覚えておくことは非常に困難です。パスワードマネージャーを使用すれば、マスターパスワードのみがユーザーが覚えないといけない唯一のパスワードとなります。マスターパスワードはパスワードマネージャーにアクセスする鍵となり、他のすべてのパスワードは自動的に入力されるため、個々のパスワードを記憶する必要がありません。また、マスターパスワード以外にも顔認証や指紋認証などの生体認証、パスキーなどを使ってパスワードマネージャーにログインすることも可能なので、よりパスワードレスに管理することができます。管理者にとっては、社員に対するパスワード関連のヘルプ作業が軽減するので、安全性のみならず生産性が同時に向上します。
4. フィッシング詐欺に対する保護が強化される
パスワードマネージャーは、フィッシング詐欺に対する効果的な対策になります。
パスワードマネージャーは、登録された本物のウェブサイトのURLと照合してログイン情報を自動入力するので偽物のウェブサイトには自動入力を行いません。そのため、ユーザーが誤って情報を入力するリスクを減らします。
また、強力でユニークなパスワードを生成する機能により、他のアカウントが乗っ取られる可能性を低減します。
加えて、フィッシング詐欺は、他のサイバー攻撃の入口となることが多く、フィッシング詐欺によってパスワードやIDが盗まれると、その後ランサムウェアなどの攻撃を受けるリスクが高まり甚大な被害を受けかねません。
大きな問題につながるフィッシング詐欺の被害リスクを最小限に抑えることができるのは、管理者にとってパスワードマネージャーを活用するメリットとなります。
5. 組織内でパスワードポリシーの遵守を徹底して一元管理できる
多くの企業や組織では、セキュリティ強化のために厳しいパスワードポリシーを設けています。Keeperのようなビジネスパスワードマネージャーを利用することで、これらのポリシーの遵守が容易になります。強力なパスワードの生成、定期的なパスワードの変更、パスワードの再利用禁止など、セキュリティポリシーを効果的に実施でき、組織全体のセキュリティレベルを維持することができます。
Keeperのようなパスワードマネージャーの導入は、これらの面で大きな効果を発揮し、日々の業務をよりスムーズかつ安全に進めることを可能にします。
まとめ:パスワードをメールで送信するのはNG! Keeperでパスワードを守ろう
パスワードをメールで送信することにはあらゆるリスクが伴い、手間もたくさんかかります。そんな時に便利なのが、Keeperのパスワードマネージャーです。
Keeperは、あなたのパスワードを安全に管理し、セキュリティを強化、業務を効率化するための最適なツールです。
もうパスワードを忘れてしまったり、退職者のアカウント悪用を心配する必要はありません。
パスワード管理の悩みから解放されるために、まずは、Keeperの14日間の無料フリートライアルをお試しください。
