「問題は出ていない」 パスワード付きZipを“受信拒否”したfreee、決断の理由：PPAP問題（1/2 ページ）

[星暁雄，ITmedia]

　一部の企業や官公庁では、ファイルをメールに添付して送るときにパスワード付きのZipファイルとして圧縮、暗号化した形で送信し、追ってパスワードをメールで後送する手法が使われている。「PPAP」と呼ばれる、この手法を見直す動きが出ている。

　平井卓也デジタル改革担当相は11月17日の定例会見で、パスワード付きZipファイル廃止の方針を明らかにした。翌18日、クラウド会計ソフトを提供するfreeeは、パスワード付きZipファイルをブロックして受信しないようにする措置を発表し、12月から実施している。同社では大きな問題は出ていないという。

パスワード付きZipファイルが送られてくると、自動的に削除する＝freee提供

パスワード付きZipファイルは、セキュリティを悪化させる

　ここ数年、「メールで暗号化Zipファイルを送信し、追ってパスワードをメールで後送する」手法を「PPAP」と名付けて批判する活動を、一部の専門家が続けている。PPAPとは「Password付きZipファイルを送ります」「Passwordを送ります」「暗号化」「Protocol」の頭文字を合わせた呼び名で、「ピコ太郎のPPAP」のパロディーでもある。

　なぜ、PPAPが批判されるのか。Zipファイルを暗号化する理由は、ファイルが外部に漏えいした場合でも内容を秘匿するためだ。しかし、そのために同じメールアドレスにパスワードを送信するというのは正当化が難しい。

　それだけではない。Emotet（エモテット）と呼ぶウイルスがメールの添付ファイルに潜んで広がりつつある。添付ファイルに潜むウイルスを検出するソフトは存在するが、添付ファイルをパスワードで暗号化したZipファイルにしてしまうとウイルス検出が機能しなくなってしまう。パスワード付きZipファイルはセキュリティ上はむしろ有害なのだ。

Emotetへの感染を狙う攻撃メールの例＝IPAの注意喚起より

サイバー攻撃の脅威に対抗するため、パスワード付きZipを廃止

　パスワード付きZip廃止に取り組んだfreeeの土佐鉄平CIO（Chief Information Officer）は次のように話す。

　「当社は、何年も前から標的型メール攻撃（メールを侵入手段として使うサイバー攻撃）を受け続けてきた。幸い実害は出ていないが、パスワード付きZipファイルは（freeeで使っている）Googleのビジネス用メールシステムが備える高度なウイルススキャン機能もすり抜ける。『危ない』と感じ、課題として捉えていた」

　特に最近は、Emotetと呼ぶ「トロイの木馬」型ウイルスが流行しており、その対策として「パスワード付きZipファイルをブロックする」という措置が推奨されている。メールに添付されたパスワード付きZipファイルは、前述のようにウイルス対策をすり抜けてしまい、ウイルス拡散ルートとして機能するからだ。

　土佐氏は「米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、パスワード付きZipファイルをブロックする対策を提唱している。しかるべき機関がそのような報告を出していることに対して、『やっぱりそうだよね』とあらためて認識した」と話す。

米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、パスワード付きZipファイルをブロックする対策を提唱している＝CISAの注意喚起より

　freeeではパスワード付きZipファイルをブロックする方法を検討し、同社が利用しているGoogleのビジネス用メールシステムの設定で簡単にできそうだと分かった。

　取引先には、「基本的にはパスワード付きZipは送らないでほしい」と伝えた。取引先の中には、自動的にパスワード付きZipを送信するソリューション（「メール誤送信防止ソリューション」などと呼ばれている）を導入しているところもあったが、そのような組織からのメールは例外的にドメインを登録して受信可能とした。「ある1日のサンプルだが、約11万通のメールを外部から受信し、ドメイン数は約1600、そのうち9割でパスワード付きZipをブロックできた。リスク低減に大きく寄与した」

　対策のために、どれだけの準備が必要だったのだろうか。