電子メールで実行ファイルを送受信してはならない
他人から電子メールで送信された実行ファイルを自分のパソコンで実行することは危険を伴う。ファイルを実行するということは、そのファイルを作成/送付した人物(なりすましの可能性もある)に自分のパソコンを自由に操作させることに等しいからだ。
一昔前は、「知らない人からメール送信された実行ファイルを実行してはならない。」などと言われたこともあるが、電子メールの送信者は電子署名等を使用しない限り簡単に詐称することができるため、メールの送信者を知っているかどうかは関係ない。
近年、情報セキュリティ意識の高まりなどから暗号化されたファイルが送受されることが多くなっており、実行ファイル形式で暗号化されたファイルが送られてくることがあるが、こういった行為自体が情報セキュリティの脅威になることについて認識すべきだろう。受信者は実行ファイルが正当、真正なものであり、キーロガー、バックドアやルートキットなどが含まれておらず、ファイルの振る舞いが全て問題のないことを事前に確認しない限りファイルを実行すべきではない。
メールの送信者に悪気がなかったとしても、第三者が成りすまして実行ファイルを送付することで簡単にキーロガーやバックドアを受信者のマシンに仕込むことができてしまう。普段から実行ファイルをメールでやりとりすることでリスクに無頓着になってしまう弊害もある。電子メールが駄目ならと、Webサイトに実行ファイルを置いておきURLを伝えダウンロードさせる人もいるが、指定ファイルを実行させるという意味でリスクは同じである。
実行ファイルを他人に届ける必要がある場合は、本来、電子署名を施した実行ファイル、電子メールへの電子署名、SSLサイトからのダウンロードなどを用いファイルの出所と真正性を明らかにすべきだろう。
しかしながら、Webサイトにおける実行ファイルの提供については、実際の運用は結構ラフに行われている。非SSLであってもユーザが確からしいと思われるURLからであればファイルをダウンロードし実行するということは珍しくない。周辺機器等のドライバやフリーソフトはこういった形で提供されていることが多い。歴史的な経緯と効率性の面から、こういった運用形態が自己の判断のもと続いているのだが、その潜在的なリスクは周知しておくべきだろう。
またファイル提供側についても、たとえ出所を明らかにしたとところで、自分が提供する実行ファイルが利用者の環境に悪影響を与えてしまうことのリスクと責任についても認識しておく必要がある。
そもそも「実行ファイルを実行する」という行為は基本的に「相手の好きなようにさせる」という意味で、それ以外ではないですからね。
自動解凍形式の圧縮ファイルなんかも、アイコン偽装されてたら普通の実行ファイルなわけですけど、会社のメールで普通に送ってくる人がけっこういます。
アレ、正直やめてほしいんですけど、まぁそういった意識は低いですね。
実行ファイルのメールでのやりとりについては、自己責任である限り絶対に駄目という理由もないために、グレーなまま放置されている感がありますね。
フィッシングなどに悪用される事例も増えているので、明示的に「良くないこと」としてPRしていく必要があるのかなと思っています。
お久しぶりです。
弊社ではフィルターかけて一連の実行形式系ファイルは通さないようにしています。
さすがにExcelやWord、PowerPointはフィルターから外してますが、マクロウイルスが怖いですね。