メールの暗号化と「インボー」

  • Facebook
  • Twitter
  • はてなブックマーク
  • Delicious
  • Evernote
  • Tumblr

「専門家のモバイルパソコンと情報セキュリティ」には、たくさんコメント、トラックバックいただきました。ありがとうございました。
中妻 穣太さんからのコメント:

>「金融庁の見解では、『見られたかどうかがわからないので、それは事故に当たる』ということになった」

これひどい話ですよね。w
その反面、メールはどの会社も官公庁も平文でブリブリ流してると。
ISPとか組織内部にちょっと悪いやつがいたら、簡単に流出しますよ。
それに比べたら、その某監査法人のノートPCはよほどセキュアだと思いますけどね。

(ちなみに、その金融庁さんのご見解は、伝聞のまた伝聞ですので、ホントにそういう言い回しで言われたかどうかは、よくわかりません。念のため。)
これだけインターネットが発達し、WebについてはSSLなども発達した今日この頃、メールの暗号化だけがいつまで経っても普及しないのは不思議と言えば不思議。
理屈で考えれば、メールは非常に強く「ネットワーク外部性」が働くので、同報先(例えば関係者が10人いるとして)に一人でも使いたい暗号を採用してない人がいたらコミュニケーションができまへんので、暗号化が普及しないのも不思議でないと言えば全く不思議ではないのですが。
一方、マイクロソフトなどの大企業がその気になれば(例えばOutlook等のメールソフトのインストール時に暗号鍵作成を必須にするとか、メール作成で暗号化をデフォルトにするなど)、あっという間に普及するとも思うのですが、これって、あえて暗号を普及させないようにしようというNS○やCI○等のインボーだというのは考えすぎでしょうか?
Officeの暗号化ってどうよ?
弁護士さんや会計事務所とのやりとりなど、ビジネス系の世界では、MS-Officeの「読み取りパスワード」を設定するのが、「デファクト」の暗号化になりつつあるのではないかと思います。ビジネスやってる人でOfficeを使ってない人はほとんどいないという「普及率の高さ」がメリットですが、デメリットは「鍵配送」が問題になる点。たいていの方は、同じメールか、その直後のメールに「パスワードは、xxxxです」と親切に書いてあるので(大苦笑)、中妻さんがおっしゃる「平文での送信」とほとんど同じレベルでして、例えれば、「ハガキ」に重要な契約書の中身などを書いて送っているのと同じであります。(「郵便屋さん(通信経路上)」に悪い人がいないことを信じるしかない。)
通常の民間企業どうしのやりとりであれば、別に「郵便屋さん」を疑ってかかる必要もないのかも知れません。(本人同士では重要でも、第三者が見てもしょうがない話のことが多い。)
例えば港区のベンチャー企業が5億円の出資を受ける交渉をしているやりとりを、盗聴してまで見るインセンティブを持つ第三者というのはあまり想定できません。
ただ、過去の日米自動車交渉などの政府間交渉でも、日本側の作戦が全部米国側に(おそらく盗聴で)筒抜けだった、というようなまことしやかなウワサを聞くと、コワい人(一定以上の技術レベルの諜報組織を持つ国家など)の利害がからむ場合、平文でメールを送るなんてのはもってのほかかも知れませんね。
(元大統領や国務長官等がアドバイザーについているような外資系ファンドによる日本企業の買収で、CI○がインターネットの相互接続点(IX)付近にスニッファーをしかけて・・・・てなのは、ロバート・ラドラムとかマイケル・クライトンの小説の影響を受けたモーソーでしょうか?)
「対テロ対策」という視点も思いつきますが、テロリストの方々が、実名や平文でメールを送るなんてことはまず考えられない。(笑)
とすると、メールの暗号化を普及させないのが「インボー」とすれば、それは「経済活動面」の諜報活動を容易にするため、という方がmake senseです。
とは言え、FAXや電話や手渡しで一つの文書毎にパスワードを関係者全員に通知するのもビジネスの実務としては非常に無理があります。
シニアな方やエラい方に「おまえも暗号ソフトをインストールしろ」ともなかなか言えませんし。
ここで事情通の方にご質問ですが。
Word等で「読み取りパスワード」をかけた場合の暗号の強度はどのくらいなのでしょうか?対称鍵ベースで128bit(今の最速のコンピュータで数兆年かかるハズ)というような強度ではなく、40bit程度(最速のコンピュータで数時間以内に解ける)という程度かな、と予想してるのですが。(以前は、40bit以上の暗号が米国国外持ち出し原則禁止だったこともあり。)
つまり、「民間企業ではちょっと解読はできないが、NS○やCI○には容易に解読できるレベル」、ということですが。(考えすぎ?)
ではまた。

[PR]
メールマガジン週刊isologue(毎週月曜日発行840円/月):
「note」でのお申し込みはこちらから。

3 thoughts on “メールの暗号化と「インボー」

  1. Office文書の暗号化レベルについては知らなかったのですが、128ビットAESに対応しているなら、現状望みうる限り最高強度と言えそうですね。
    まあそうでないと、政府機関にOfficeを採用してもらえませんよね。
    マイクロソフトがメール暗号化を推進しないのがインボーだと言われると、まず「まさかぁw」と思った後、「いや、もしかしてなくもないのかも…」とちょっと不安になりますね。
    まあインボーがなかったとしても、マイクロソフト単体の立場からして、メール暗号化が増収要因になるとはっきりするような事態(平文メールが読み取られて重大機密が漏洩する事件発生、など)にならなければそんなことはやりたくない、というところかもしれません。
    とりあえず現状では、Office文書を暗号化してメール添付すると同時に、その暗号化キーを封書にして郵送すると相当セキュアだと思います。ちょっと時間はかかってしまいますが、重大な文書についてはこういう手を打つ必要もあるかと。
    これよりは少し強度が落ちますが、暗号化キーだけ「携帯のメールで」送るのも悪くないです。携帯の経路に割り込むのは非常に困難ですし、割り込めたとしても片方だけでは意味がないからです。(ただし、携帯to携帯でないと意味がないです)
    いろんな意味での「二重化」がセキュリティの基本ですね。

  2. こんにちは。遅まきながらですが、、
    こんなもんが世の中には既に出回っているようです
    → Advanced Office Password Recovery  http://www.elcomsoft.com/aopr.html
    価格もたったの$199!ですが、実力はどんなもんか気になるところです。
    よっぽど注意深いユーザでも、毎回毎回同じパスワード&簡単なもの(会社の英語頭文字とか)でやっているパターンが多いと思いますので、実はほとんどイケたりしそうな気がします。
    PCの速度向上で色々な意味で便利になったことがもたらした負の側面なんでしょうか??