PR

 前回「ファイル添付は止めちゃおう」という話を書きましたが、珍しくトラックバックをいただきました(いただいたのは知り合いの方ですが(笑))。いやあ、これまでほとんどトラックバックとかいただけていなかったし(もう連載辞めちゃおうかとか思ってたくらいですよ(冗談))、ありがたいことです。
 で、ご指摘いただいたのは、無料のファイル転送サービスは偽装利用が割と簡単なので、抑止にならないのでは、という主旨ですね。サービス利用時にいろいろ情報を登録しないと使えないものがあるにせよ、偽装や機械化でばらまきはまだ可能ではないか、というご意見だったと思います。

 ファイル転送サービスでは、利用前に新規ユーザー登録が必要です(「宅ふぁいる便」、「おくりん坊」)。登録する時に必須とされる情報は、「メールアドレス」「パスワード」だけでなく、「氏名」「居住地」「生年月日」「職業」「配偶者の有無」「子どもの有無」から興味のあるジャンルなど、ファイルを送るだけなのになぜこんなに聞かれなければならないの、とか思うくらい(笑)けっこうな「個人情報」だったりします(まあ、無料で利用するわけですからね)。フリーメールは不可など、登録可能なメールアドレスを選別していたりもします。
 登録時には記入した情報の確認画面もあります。いったん確認画面が出て、その後登録ということになります。
 また、宅ふぁいる便の場合はさらにその先に「本登録」という作業が必要になります。仮登録したメールアドレスに送られてきた本登録URLにアクセスし、そこで再度パスワードを入力して初めて使えるようになるわけです。宅ふぁいる便の場合にはまた、実際にファイルを送信すると送信者として登録されたメールアドレスに「送りました」というメールが届きます。

 ……要するに、ファイルを送るためだけに、えらく手間がかかったりするわけです。最も手間がかからないのはデータ便で、情報の登録は不要だったりしますが、それでも「利用規約への同意」が必要だったりします。

 まあ、これだけ「手間」がかかって、いろんな画面遷移を経て初めてファイルを送ることができるということは、機械的にファイルをばらまく手段には使いづらいですよね。複雑なスクリプトを組めば可能かも知れませんが、それだけ手間をかけても一度に送信できるのは3個とか3人とかだったりしますし。
 それに、サービスを利用してばらまくことはそのサービスに痕跡が多数残る、ということでもあります。残される「痕跡」を偽装することも出来ますが、少なくとも悪事実行へのハードルは一つ上がると言えるでしょう。

 それならいっそのこと、ファイル転送サービスからのメールを偽装することも考えられるでしょう。待ち受けるWebサイトをフィッシング詐欺よろしく用意しておいて、そこに誘導する本物そっくりメールを送りつけるのです。フィッシング詐欺の偽装工作は昨今かなり巧妙になってきていますから、同様の手法を用いられたりすると一般的な利用者には見分けがつかないかもしれません。

 そういった偽装に対抗するには運用で工夫するしかなさそうです。例えば、プロジェクトの場合ならばプロジェクトのメーリングリストをあらかじめ作成しておき、そこに「これからファイル転送しまっせ」という告知を流すのです。外部からメーリングリストに向けて当てずっぽうに偽装告知メールを流すとしても、そもそもメーリングリストの宛先となるメールアドレス(メーリングリストというのは例えば、yamagata_love_project@example.jpなどの宛先メールアドレスを設定し、登録された利用者だけがそのメールアドレス宛に送信できるようにしておいたりします)が分からないでしょうし、偽装するのはかなりハードルが高いのではないでしょうか。長く使えば偽装に使われる危険性は高くなってきますが、プロジェクトの外に漏れなければそう簡単には分からないでしょうし、常時利用するものなら年度ごとに変えるという手もあります。何より、転送サービスだけを頼った手順よりは安全であると言えるでしょう。

 個人対個人の場合は、自分で「これから送ります」メールを出すと良いでしょう。例えば、

    ===
    やまがた21さん

    園田です。

    お世話になっております。
    これからファイル送ります。よろしくお願いします。

    P.S.そろそろ気づいて欲しいな…(笑)
    --
    園田道夫
    実用SSH第二版(http://www.oreilly.co.jp/books/4873112877/)
    ハニーネットプロジェクト(http://book.mycom.co.jp/book/4-8399-1648-9/4-8399-1648-9.shtml)
    蔵出しセキュリティ()
    極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)
    ===


というメールを出すわけです。重要なのは下の署名など、偽装されにくい部分ですね(わたしの場合モロに宣伝だったりしますが(笑))。もちろん、お互いに鍵を交換して暗号化されたメールなどを用いれば、「送ります」メールはさらに偽装が困難になりますが、手順として「送ります」メールがあるだけでもハードルは高いのではないでしょうか。

 そして実は、この「手順を増やす」ことこそがキモなのです(それなら先週そう書けよって言われそうですね(笑))。その上で、ファイル転送サービスを利用するからこそ意味があるわけです。ファイル転送サービスは、そのサービスをそのまま利用しているだけでは、安全性ががっつり向上するわけではありません。しかし、「電子メールの添付ファイル」という「危険な」習慣から人々を遠ざけるために有効な代替手段だと思います。
 そして、先週も書いたとおり、ワープロや表計算など、ごく一般的に用いるファイルも100%安全であるとは言えません。となるともはや「添付されたファイルをいきなりダブルクリックする」という悪習を絶つだけでは足りないと思うのです。

 そろそろ本気で「添付ファイル」と決別し、さらに手順によってリスクヘッジする、そんなことを考える時期に来ているのではないでしょうか。