一部の企業や官公庁では、ファイルをメールに添付して送るときにパスワード付きのZipファイルとして圧縮、暗号化した形で送信し、追ってパスワードをメールで後送する手法が使われている。「PPAP」と呼ばれる、この手法を見直す動きが出ている。
平井卓也デジタル改革担当相は11月17日の定例会見で、パスワード付きZipファイル廃止の方針を明らかにした。翌18日、クラウド会計ソフトを提供するfreeeは、パスワード付きZipファイルをブロックして受信しないようにする措置を発表し、12月から実施している。同社では大きな問題は出ていないという。
ここ数年、「メールで暗号化Zipファイルを送信し、追ってパスワードをメールで後送する」手法を「PPAP」と名付けて批判する活動を、一部の専門家が続けている。PPAPとは「Password付きZipファイルを送ります」「Passwordを送ります」「暗号化」「Protocol」の頭文字を合わせた呼び名で、「ピコ太郎のPPAP」のパロディーでもある。
なぜ、PPAPが批判されるのか。Zipファイルを暗号化する理由は、ファイルが外部に漏えいした場合でも内容を秘匿するためだ。しかし、そのために同じメールアドレスにパスワードを送信するというのは正当化が難しい。
それだけではない。Emotet(エモテット)と呼ぶウイルスがメールの添付ファイルに潜んで広がりつつある。添付ファイルに潜むウイルスを検出するソフトは存在するが、添付ファイルをパスワードで暗号化したZipファイルにしてしまうとウイルス検出が機能しなくなってしまう。パスワード付きZipファイルはセキュリティ上はむしろ有害なのだ。
パスワード付きZip廃止に取り組んだfreeeの土佐鉄平CIO(Chief Information Officer)は次のように話す。
「当社は、何年も前から標的型メール攻撃(メールを侵入手段として使うサイバー攻撃)を受け続けてきた。幸い実害は出ていないが、パスワード付きZipファイルは(freeeで使っている)Googleのビジネス用メールシステムが備える高度なウイルススキャン機能もすり抜ける。『危ない』と感じ、課題として捉えていた」
特に最近は、Emotetと呼ぶ「トロイの木馬」型ウイルスが流行しており、その対策として「パスワード付きZipファイルをブロックする」という措置が推奨されている。メールに添付されたパスワード付きZipファイルは、前述のようにウイルス対策をすり抜けてしまい、ウイルス拡散ルートとして機能するからだ。
土佐氏は「米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、パスワード付きZipファイルをブロックする対策を提唱している。しかるべき機関がそのような報告を出していることに対して、『やっぱりそうだよね』とあらためて認識した」と話す。
freeeではパスワード付きZipファイルをブロックする方法を検討し、同社が利用しているGoogleのビジネス用メールシステムの設定で簡単にできそうだと分かった。
取引先には、「基本的にはパスワード付きZipは送らないでほしい」と伝えた。取引先の中には、自動的にパスワード付きZipを送信するソリューション(「メール誤送信防止ソリューション」などと呼ばれている)を導入しているところもあったが、そのような組織からのメールは例外的にドメインを登録して受信可能とした。「ある1日のサンプルだが、約11万通のメールを外部から受信し、ドメイン数は約1600、そのうち9割でパスワード付きZipをブロックできた。リスク低減に大きく寄与した」
対策のために、どれだけの準備が必要だったのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアクセスランキング