オフィスでキーボードを使う人。複数の電子メールのロゴと盾・鍵のロゴが重なっている。

パスワードで保護された文書の電子メール送信:新しい静かな侵害

10 2024
ブログホーム

私たちは電子メールに多くを依存しています

個人的な目的であれビジネス目的であれ、電子メールは現代の私たちの生活のいたるところで使われています。COVID の大流行を受け、企業は物理的な会合よりも遠隔ミーティングにますます依存するようになっています。その結果、会社員は同僚、クライアント、顧客、その他の第三者(サービスプロバイダー、請負業者、財務、法務、エンジニアリングパートナーなど)と、ファイルを共有する機会が増えています。機密情報を含むファイルを電子メールに添付する際、機密データが安全であると信頼できるように、エンドツーエンドで適切にメッセージを暗号化する電子メールプロバイダーを利用することが、これまで以上に重要になっています。

多くの人はさらに一歩先を行っています。Word、Excel®、Adobe® Acrobat® などのアプリケーションでは、ファイルをパスワードで保護することができます。この暗号化は、正しいパスワードを持つ受信者のみがアクセスできるようにすることで、データが安全に保たれる信頼を高めることを目的としています。

しかし、この自信は必ず根拠があるとは限りません。IT 部門は、法律や規制で義務付けられているように、送信された電子メールに保護されたデータが含まれていないか、自社内またはクラウドサーバー内のデータを日常的にチェックしているわけではありません。多くの場合、電子メールで侵害を受けた請負業者は、それを提携企業に報告しない可能性があります。

では、電子メールで送信される添付ファイルはどの程度安全なのでしょうか?

ここでは、電子メールサーバー、インターネットプロバイダー、お客様/パートナーのサーバーが適切に保護されていることを前提とします。クラウドや企業のデータ漏洩の話は絶えませんが、電子メール漏洩の報告はほとんどありません。

それでも、2023 年 7 月、ハッカーが米国政府の電子メールアカウントに侵入しています。2024 年 1 月には、Microsoft®2 ヶ月間にわたる電子メール侵害の被害に遭い、重役の内部メッセージと添付ファイルが盗まれたことを明らかにしています。

機密データが安全だと、安心できるのでしょうか?弁護士、ファイナンシャルアドバイザー、税務署員、保険会社など、貴重なデータを扱う職業について考えてみましょう。ファイルを暗号化できるようにパスワードで保護することは、多くの人々を安心させはしますが、もはやセキュリティの保証とは言えません。

ソフトウェア暗号化を使用してパスワードで保護されたファイル

机に座ってキーボードとマウスを使う人。パスワードで保護された文書を描いたグラフィックが重なっている。

顧客情報を含む Microsoft Excel スプレッドシートのパスワード保護や、法的証拠の Acrobat PDF の暗号化は安心感を与えるかもしれませんが、ハッカーがこれらの文書を入手した場合、何が起こるでしょうか?

このようなファイルはコンピューター上でソフトウェア暗号化され、データにアクセスするためのパスワードゲートが追加されます。間違ったパスワードが入力されると、ファイルはアクセスを許可せず、アクセスできない状態になります。

残念なことに、これらのファイルはブルートフォース攻撃 (辞書攻撃とも呼ばれ、パスワードを構成するすべての文字の組み合わせを推測します) に対する保護が欠けています。

例えば、大文字、小文字、数字、特殊文字の 4 文字のうち 3 文字を使った、安全で複雑なパスワードを想定してみましょう。これは、IT セキュリティポリシーでベストプラクティスとして要求される典型的なパスワードの種類です。最も一般的な複雑なパスワードの長さは 8 文字です。

原則的に、このような複雑なパスワードは、コンピューターが推測するのに何年もかかるはずです。パスワードで保護されたファイルには、選択されたパスワードのランダム性 (またはエントロピー) 以外、パスワードの推測に対する防御策はありません。

現代のコンピューターとツール

今日のコンピューターは、1 秒間に 10 億以上のパスワードを推測することができます。これは、パスワードで保護されたファイルが最初に作成された時とは比較にならないほどの飛躍です。

サイバー犯罪者はどのようにしてパスワードで保護されたファイルを破るのでしょうか?

インターネット上には、Excel や Acrobat ファイルからパスワードを解除するための無料ツールがたくさんあります。特別なセキュリティ暗号化を施したファイルは、パスワードで保護されたファイルを 1 台のコンピューターで攻撃したり、(価値の高いデータを求める決意の固い攻撃者向けに) 1000 台以上のネットワークコンピューターにスケールアップして攻撃したりする、有料のツールで標的にすることができます。これらの強力なツールの中には、法執行機関向けのフォレンジックツールとして販売されているものもありますが、一般的にはクレジットカードで購入してダウンロードできるほど、手に入りやすくなっています。

Home Security Heroes によると、AI ベースのパスワードクラッキングツールは、一般的な 8 文字の複雑なパスワードを数分でハッキングでき、最大でも 7 時間で済むとされています。ネットワーク化されたコンピューターを使えば、パスワードで保護された個々のファイルに対するブルートフォース攻撃は、もっと短時間で完了する可能性があります。

モバイルデータの保護方法

Kingston IronKey Vault Privacy 50 USB が、オフィスのコンピューターに接続されたデスク上のマルチポートハブに差し込まれている。

ここまでで、電子的手段による機密データの送信は、ファイルが傍受されたり、添付ファイルやファイルを含むサーバーが侵害されることで、侵害を受ける可能性があることがおわかりでしょう。ソフトウェア暗号化に頼らざるを得ないクラウドに保存された暗号化ファイルについても、同様です。これは、どのクラウドについても同じことが言えます。パスワードで保護されたファイルを誰かが入手すれば、ファイルの種類に応じてカスタマイズされたソフトウェアを使った、ブルートフォース攻撃を受ける可能性があります。

このリスクを軽減する解決策は、データを「完全にオフライン」にするか、密閉させておくことです。インターネットに接続されていないコンピューターに保存するか、ブルートフォースパスワード攻撃に対して防御を強化した媒体を介してデータを転送できます。これは面倒かもしれませんが、データの価値によっては有効な緩和策です。ある種の情報漏えいは、失われたデータによっては数百万ドル、高額な訴訟費用や和解金がかかることもあります。例えば、顧客口座の詳細が記載されたスプレッドシートは、紛失するとビジネスに大きな損害を与える可能性があります。訴訟で使用されるお客様の IP 情報が紛失し、ダークウェブで販売されれば、企業に深刻な影響を与える可能性があります。

モバイルデータには、ハードウェアで暗号化された USB ドライブや SSD という安価なソリューションがあります。USB ドライブや SSD は、自己完結型のハードウェアベースのセキュリティエコシステムを構成することで、パスワード攻撃から保護し、常時 AES-256 ビットの暗号化を使用しています。オンラインで販売されている安価なドライブは、パスワードセキュリティや暗号化を適切に実装していない可能性があるため、このようなストレージデバイスは、既知の信頼できるメーカーから調達することが重要です。

Kingston IronKey ドライブのようなハードウェア暗号化 USB ドライブや外付け SSD は、一般的な USB や SSD とは異なります。これらのドライブは、データ保護デバイスとして一から設計されており、セキュリティを最優先の設計目標として、専用のコントローラーを使用しています。これらのドライブは、エンタープライズグレードのセキュリティとミリタリーグレードのセキュリティ (AES-256 ビット暗号化を作成し、米国政府機関の基準を設定する米国政府機関である NIST による FIPS 140-3 レベル 3 認証が追加されています) を提供することができます。また、Kingston は 20 年以上にわたり、世界中の企業や政府向けにハードウェア暗号化ドライブを設計・製造してきました。

効果的なブルートフォース攻撃対策

IronKey ドライブへのすべてのアクセスは、セキュアマイクロプロセッサを経由して行われます。データへのアクセスを許可するために、セキュアマイクロプロセッサは有効なパスワードまたはキーパッドドライブ用の PIN を要求します。セキュアマイクロプロセッサは、無効なパスワードの再試行回数をカウントします (携帯電話をリセットされたことがある方は、その仕組みをご存知でしょう)。IronKey ドライブは、管理者、ユーザー、ワンタイムリセットと、複数のパスワードを設定できます。ワンタイムリセットまたはユーザパスワードが連続して 10 回間違って入力されると、ドライブはパスワードをロックします。プライマリ管理者パスワードが連続して 10 回間違って入力されると、セキュアマイクロプロセッサはデータ自己破壊モードに入ります。この時点で、ドライブに保存されていたデータは永遠に失われます。これが、機密データに対するほとんどの攻撃に対する防御策です。

機密データを保護するためのベストプラクティス

残念ながら、パスワードで保護されたファイルを電子メールで送信したり、クラウドサーバーに投稿したりすることは、今日の AI やコンピューター技術ではファイル自体を保護することができないため、データ漏洩につながる可能性があります。最良のセキュリティを実行するには、モバイルデータをポケットやバッグの中など、物理的に持ち運ぶことが必要です。そうすれば、相手と共有することができます。または、ドライブをお客様やパートナーに発送し、データへのアクセス方法を伝えることもできます。ドライブをお客様やパートナーに預けることで、データを安全にかつ完全オフラインで保管することができます。最大 8TB の容量を持つ IronKey 外付け SSD は、法律事務所から医療や金融サービスのプロバイダーまで、さまざまな専門分野に強力なセキュリティを提供することができます。

多くの製造業者は、重要な知的財産文書や詳細情報を電子メールで送信しなくなりました。その代わりに、IronKey ドライブを相手 (多くの場合、異なる国) に発送し、その後にデータへのアクセス方法を知らせています。IronKey ドライブでは、管理者権限でグローバルな読み取り専用モードを設定できるため、ユーザパスワードでアクセスしてもファイルの改ざんを防ぐことができます。

IronKey ドライブは、CIA トライアドのベストプラクティスに従ったものであり、機密データを安全に保ち、商業的に可能な限り保護するための安価な保険です。結局のところ、お客様の情報の価値がどの程度高いとみなされるか、がすべてなのです。

上記の内容はお役に立ちましたか?

回路基板のチップセット上にある Kingston の Ask an Expert (専門家に照会)アイコン

専門家に照会する

正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。

専門家に照会する
DT2000 USB フラッシュドライブを持つトリシャ 2:53

暗号化機能付き USB フラッシュドライブの説明

暗号化 USB フラッシュドライブは、プライベートなデータを安全に守りますが、どのように機能するのでしょうか?

盾、コードの表示された画面、ロックのグラフィックの横で IKVP80ES を持つトリシャ 5:38

ファイルを安全に保存しアクセスする適切な方法

一流のクライアント向けのコンテンツを制作する方は、重要なファイルを暗号化ストレージで保護して、セキュリティの要件を満たすことができます。

デスク上のノートパソコン、カメラ、ライトメーターの横に置かれたIKVP80ES 0:32

クリエイター向け暗号化ストレージ

個人で仕事をする場合でも、世界中の重要な顧客と協力し合う場合でも、暗号化されたストレージは重要なファイルを保護し、セキュリティの責任を果たします。

関連製品

関連記事

ブログホーム