企業の情報流出が後を絶たない。
何万件もの顧客情報が流出したり、顧客データが入ったディスクを無くしたり。
個人レベルだと、メールのご送信もありがちだが立派なセキュリティ事故と言える。
私も会社からメールに添付ファイルを付けるときはパスワード付きのzipファイルにするように指示を受けている。
そこでパスワードを付けようとするわけだが、どうしても会社名・顧客名・日付・社員番号などが多くなってしまう。
これらはいずれもアルファベットのみとか数字のみで、しかも文字数が少ない。
ところがzipのパスワードというのは短いものを設定してしまうと、pikazipなどのフリーソフトで簡単に解析できてしまうため、もしこんな甘いパスワードがかかったzipが悪意のある人間に渡れば、簡単に中身が流出してしまうことは想像に難くない。
そういうわけで、最近私は特に重要なデータを送る際には、上記の簡単なパスワードのmd5ハッシュ値をパスワードとして設定することにしている。
例えば、testというパスワードを付けたいとすると、そのmd5ハッシュ値の「098f6bcd4621d373cade4e832627b4f6」をzipのパスワードにする。
これは、md5コマンドさえインストールされていれば、
md5 -s test
のようなコマンドを実行すれば簡単に得ることができる。
md5ハッシュを使うことで、アルファベット数字混在の32桁のパスワードになるため、これを総当たりで解析するのは極めて困難になる。事実上不可能と言えるだろう。*1
ところが、この方法も始めの簡単なパスワード(上記例の場合「test」)を覚えておくのが面倒になってくる。
そこで始めの簡単なパスワードを送るファイルのファイル名にしてしまえば良い。そしてファイル名のmd5ハッシュをパスワードにしたのでは、この法則を使っていることがばれるとすぐにパスワードが分かってしまうので、ファイルをやりとりする相手と簡単なパスワードを共有しておいて、ファイル名にその簡単なパスワードを連結した文字列のmd5ハッシュをパスワードにすることで、ファイルによって毎回異なる強力なパスワードを設定できる上、それを解凍するのに覚えておくべきパスワードは単純な1つのパスワードになる。
時間ができたら、これを実現するためのツールを作ろうと思う。
まず圧縮したいファイルをこのツールにドロップして、作成するzipファイル名と簡単なパスワードを入力すると、上記のルールにしたがったパスワードを付けたzipファイルを生成する。このとき生成したパスワードも表示される。
逆にこのツールを使って作成されたzipファイルをこのツールにドロップして、簡単なパスワードを入力するとzipファイルのパスワードを表示する。
このツールを相手と共有しておけば、メールでのファイルのやりとりが楽になるだろう。
例えば送信相手が顧客などで、このツールを相手に使ってもらうことが難しければ、2通目のメールなどで設定した32桁のパスワードを連絡してあげれば良いだろう。
大したツールではないけれど、これがあれば仕事が少し楽になると思う。
コメント