ZIPの暗号化ではファイル名は隠せない

ZIPの圧縮形式を使ってファイルを暗号化することがあると思いますが、すべての情報をそれで隠すことができたと思わないほうがいいです。

企業でメールを送信するときに、添付ファイルを暗号化するためにZIP圧縮してパスワードを付与することがあると思います。中には、メールサーバー側で圧縮して暗号化してパスワードの付与まで行って、相手先に添付ファイルがついたメールとパスワードが書かれたメールを別々のメールで送ってくれるソリューションもあったりします。

ZIP圧縮でパスワードが付与されていれば、暗号化されてファイルの中身をのぞき見ることができなくなります。しかし、だからといって安心するのはやめたほうがいいです。

ZIP形式の暗号化はファイル名までは隠せません。

これはZIPそのものの仕様なので、どんなソフトウェアを使おうがどんな機器を使おうが隠すことができません。もし、Windowsをお持ちなら暗号化されたZIPにエクスプローラーでアクセスしてみてください。ちゃんとファイルの一覧が表示され、フォルダーに至っては下の階層までたどることができると思います。

このことは、ファイルから重要な情報を盗もうとする人にとって、どのZIPファイルが重要で、どのZIPファイルが重要でないかという手がかりを与えることになります。だからZIP圧縮内部のファイル名に「このあいだの旅行の写真.jpg」と書かれたものは無視して、「超重要! 企業秘密! 今後の当社の存続に影響する情報.xlsx」なんて書かれたZIPファイルを総当たり攻撃でパスワードクラックすればいいことになります。

なので、ZIP圧縮でパスワードをつければ暗号化されて安心なんて考えず、圧縮する前にファイル名を見直しておくといいです。

それかZIP圧縮以外でファイル名も暗号化ができるような圧縮形式を使いましょう。送付先の相手と申し合わせておく必要がありますが、セキュリティ重視ならそちらのほうがいいでしょう。