2015年06月05日

◆ ウイルスメール対策 4

 ファイル共有サービスの利用については、どうするべきか? ──

 今回の年金機構の情報漏洩では、ファイル共有サービスが利用された。
 「メールのリンクをクリックすると、ファイル共有サービスからファイルがダウンロードされる」
 という形で、ウイルス入りのファイルがダウンロードされて、パソコンがウイルスに感染した。
 では、この問題をどう解決するか? 

 ──

 前項では、「ファイル共有サービスなんか使うな」と述べた。「データを送ってもらいたいときには、メールの添付ファイルの形で送ってもらう。それを得た受信者は、Gmail 上で HTML ファイルに変換してから、変換後のファイルを受信する。……こういう形だ。

 ただ、もっといい工夫はないか? 
 そう考えたところ、次の方法が見つかった。
 「身元がしっかりした相手からならば、ファイル共有サービスを通じてダウンロードしてもいい」

 具体的には、次のいずれかだ。
  ・ Facebook 上の本人ページからダウンロードする。
  ・ Google+ 上の本人ページからダウンロードする。

 いずれの場合も、Facebook または Google+ のアカウントで身元が確認できる。この形でなら、身元がはっきりするので、ファイルをダウンロードしてもいいだろう。
( ※ ただしその前に、Facebook または Google+ のアカウントが本物であることを確認する必要がある。たまに偽物が混じっているので注意。)

 とはいえ、この方法には、ちょっと難点がある。

 (A) Facebook でファイル共有ができるのは、グループ内でのみ。
    → facebookグループの「ファイル共有機能」について

   つまり、あらかじめグループ登録しないと、この機能を使えない。
   というわけで、かなり使い勝手が悪い。

 (B) Google+ ならば、単に Google Drive のファイル共有機能を使うだけなので、特に問題なく共有できそうだ。ただし、その分、身元確認が難しくなる。共有は易しいが、身元確認が易しくない。Google+ のサイトと照合するのに、ちょっと手間がかかる。

 ──

 もうちょっとまともな方法も考えられる。
 「政府が組織内で身元確認をするシステムを構築する」

 このサイトを「ベリファイ」と呼ぶことにしよう。下記のように利用する。(ベリファイを途中で介在させる形。)
 (1) ファイルの送信者は、マイナンバー(または公務員ナンバー)と暗証番号によって、ベリファイにファイルを送信する。同時に、宛先も記す。
 (2) ベリファイから受信者にメールが届く。
 (3) 受信者は、ベリファイから送られたリンクをクリックすることで、ベリファイからファイルをダウンロードする。


 この方式の美点は、次のことだ。
 (i) 最初の登録時に、身元の確認がなされるので、送信者の身元は保証される。(送信者は公務員の誰それだとわかる。身元不明にはならない。)
 (ii)ベリファイが高度なウイルスチェックをすることで、ウイルスが紛れ込む危険度が激減する。
 (iii) 受信者はベリファイからダウンロードするので、変なところからダウンロードするという危険をなくせる。


 このようにして、「公務員同士でファイル共有サービスを利用する」ことが、安全に可能となる。
 冒頭では、「ファイル共有サービスを利用するな」と述べたが、公務員同士であれば、安全にファイル共有サービスを使える方法はあるわけだ。
 


 [ 付記 ]
 今回の年金機構の場合には、送信者は公務員ではないので、本項の方式は利用できない。その場合には、冒頭に戻って、「ファイル共有サービスなんか使うな」という結論となる。
 そもそも、今回の場合では、送信者はフリーメールを使っていた。身元がわからないわけで、怪しさ1万倍だ。こんなものを使うということが、根本的におかしい。
 この件は、次項でも述べる。
posted by 管理人 at 22:08| Comment(2) | コンピュータ_04 | 更新情報をチェックする
この記事へのコメント
フリーメールからの添付ファイルを開くなんてのは論外ですが、少し高度な人であれば、差出人アドレスを実在の組織などに書き換えてなりすますことができるようです。
その場合もメールのヘッダ解析をメールサーバに仕込んでおけばメール作成者組織と、表示組織の違いではねることも可能ではないかかと思います。

また業務内容にもよりますが、エクセルやワードをそのままやり取りするからマクロウィルスに感染することを考えると、そのままのやり取りをなくせばいいわけです。

ワードであれば雛形を作ってウェブサイトのコメント欄に入力(まるでここのコメント欄ですが)して貰えばいいですし、その程度のWeb開発は大したことがないと思います。
アホみたいに定型文書でないと・・・というならPDF-aでいいでしょう。

エクセルの必要性がよくわからないのですが、定型業務であれば、年金機構側でマクロで固めたツールを提供し、そこに入力してもらえばいいでしょう。入力セルなどはロックできますから改変できません。⭐(そのパスワードのクラックは別)
さらにツールからのファイル書き出しもCSVやxmlにすることも可能なので、そのデータファイルだけを入手する。
というふうにすれば、まず大丈夫と思います。

受け手がめんどくさがって送信元に凝った表やらグラフ、解析ツールがなんたらかんたらの作成をお任せしていることも多いと思いますが、そういう体質を改善しないとだめですね。
Posted by 京都の人 at 2015年06月07日 12:57
業務で共同作業をするなら、Microsoft Onedrive で、クラウド上で文書を共有するといいでしょう。

 OneNote というアプリもありますね。
Posted by 管理人 at 2015年06月07日 14:20
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

過去ログ