IT担当のおと

外部の業者の方から幾分機密性の高い情報が電子メールで送られてくる場合、実行可能形式のプログラムが添付されてくる場合がよくある。どうやら、暗号化されたファイルが、このプログラムの中にに含まれているようで、実行時に正しいパスワードを入力すると、復号されたファイルが現れる。大抵の場合、パスワードは次のメールに書かれている。

暗号化されたファイルも、そのパスワードも、結局は電子メールで送られてくるわけで、あまり機密性は高くない。それでも、例えば「葉書ではちょっと送れない」程度の機密性の場合には良いのかも知れない。

ただ、実行可能形式のプログラムを添付してくるというのはどうだろう。

このプログラムを実行すると、パソコンはそこで指示された通りに行動する。
期待した通りにファイルを復号するだけかもしれないが、時々こっそりとハードディスク内のファイルを書き換えたりするかも知れない。
そして、そのプログラムが実行時に何をするのかを調べるのは、かなり面倒なことで、「実行してみないと分からない」どころか、「実行しても、隠れて何をしているかは分からない」というのが現実のところだと思う。
そう考えると、怖くて気軽には実行出来ない。

さらに、電子メールは差出人の詐称が容易なので、本当は別の人から送られてきたメールかも知れない。
本当に本人から送られてきたメールだとしても、改竄されているかも知れないし、コンピュータウイルスのようなものに感染しているかも知れない。

そう考えると、電子メールに添付されたプログラムを実行するなんてありえない。
(電子署名などがあれば別だが)

実際、職場のガイドラインでは、電子メールに添付されたプログラムは実行してはいけないことになっている。
(というか、私がそうした。)
そして、どうやら、職場の Windows PC は、電子メールに添付されたファイルは実行出来ないようになっているようだ。
私の管理する一部のメーリングリストでは、実行可能形式の添付ファイルを削除するようにしている。
また、私は職場で Mac を使っているので、Windows 用のプログラムは実行出来ない。

だから、そのような添付ファイルを送りつけないで欲しい。
送りつけてくる業者の人も、少しは考えてから送って来て欲しい。
特に情報関係の業者から届くと、そんなところと取引して大丈夫か心配になる。頭が痛い。

さらに、頭の痛くなることがある。
電子メールにプログラムが添付されていると、自動的に削除してしまうシステムがある。
これに対抗するため、ある業者から送られてきた電子メールでは、プログラムの拡張子をわざと取り除いてから添付されているのだ。
そして、メールの本文には、「添付ファイルの拡張子を ".exe" に変更してから実行して下さい。」と書かれている。

これは、受信者側のセキュリティーポリシーを認識した上で、それをわざと回避させようとしている。
法律的にはどうかは分からないが、倫理的には問題だろう。

本当に、少しは考えてから送ってきて欲しい。