「問題は出ていない」 パスワード付きZipを“受信拒否”したfreee、決断の理由:PPAP問題(1/2 ページ)
メールでパスワード付きZipファイルを送信し、追ってパスワードを送る「PPAP」を見直す動きが出ている。freeeは12月から、パスワード付きZipファイルを受信しないようにした。
一部の企業や官公庁では、ファイルをメールに添付して送るときにパスワード付きのZipファイルとして圧縮、暗号化した形で送信し、追ってパスワードをメールで後送する手法が使われている。「PPAP」と呼ばれる、この手法を見直す動きが出ている。
平井卓也デジタル改革担当相は11月17日の定例会見で、パスワード付きZipファイル廃止の方針を明らかにした。翌18日、クラウド会計ソフトを提供するfreeeは、パスワード付きZipファイルをブロックして受信しないようにする措置を発表し、12月から実施している。同社では大きな問題は出ていないという。
パスワード付きZipファイルは、セキュリティを悪化させる
ここ数年、「メールで暗号化Zipファイルを送信し、追ってパスワードをメールで後送する」手法を「PPAP」と名付けて批判する活動を、一部の専門家が続けている。PPAPとは「Password付きZipファイルを送ります」「Passwordを送ります」「暗号化」「Protocol」の頭文字を合わせた呼び名で、「ピコ太郎のPPAP」のパロディーでもある。
なぜ、PPAPが批判されるのか。Zipファイルを暗号化する理由は、ファイルが外部に漏えいした場合でも内容を秘匿するためだ。しかし、そのために同じメールアドレスにパスワードを送信するというのは正当化が難しい。
それだけではない。Emotet(エモテット)と呼ぶウイルスがメールの添付ファイルに潜んで広がりつつある。添付ファイルに潜むウイルスを検出するソフトは存在するが、添付ファイルをパスワードで暗号化したZipファイルにしてしまうとウイルス検出が機能しなくなってしまう。パスワード付きZipファイルはセキュリティ上はむしろ有害なのだ。
サイバー攻撃の脅威に対抗するため、パスワード付きZipを廃止
パスワード付きZip廃止に取り組んだfreeeの土佐鉄平CIO(Chief Information Officer)は次のように話す。
「当社は、何年も前から標的型メール攻撃(メールを侵入手段として使うサイバー攻撃)を受け続けてきた。幸い実害は出ていないが、パスワード付きZipファイルは(freeeで使っている)Googleのビジネス用メールシステムが備える高度なウイルススキャン機能もすり抜ける。『危ない』と感じ、課題として捉えていた」
特に最近は、Emotetと呼ぶ「トロイの木馬」型ウイルスが流行しており、その対策として「パスワード付きZipファイルをブロックする」という措置が推奨されている。メールに添付されたパスワード付きZipファイルは、前述のようにウイルス対策をすり抜けてしまい、ウイルス拡散ルートとして機能するからだ。
土佐氏は「米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、パスワード付きZipファイルをブロックする対策を提唱している。しかるべき機関がそのような報告を出していることに対して、『やっぱりそうだよね』とあらためて認識した」と話す。
freeeではパスワード付きZipファイルをブロックする方法を検討し、同社が利用しているGoogleのビジネス用メールシステムの設定で簡単にできそうだと分かった。
取引先には、「基本的にはパスワード付きZipは送らないでほしい」と伝えた。取引先の中には、自動的にパスワード付きZipを送信するソリューション(「メール誤送信防止ソリューション」などと呼ばれている)を導入しているところもあったが、そのような組織からのメールは例外的にドメインを登録して受信可能とした。「ある1日のサンプルだが、約11万通のメールを外部から受信し、ドメイン数は約1600、そのうち9割でパスワード付きZipをブロックできた。リスク低減に大きく寄与した」
対策のために、どれだけの準備が必要だったのだろうか。
関連記事
- VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。 - 「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。 - 「オフィス縮小」即断、電話や掃除もオンライン化──“用意周到”だった企業が直面した盲点
人材系ベンチャーのLAPRASが、11月にオフィスを縮小移転した。これからはリモートワークをメインとし、「オフィスはおまけ」の位置付けだ。また、経費精算から電話まで業務に関わるあらゆるものをオンライン化している。その方向性は緊急事態宣言下の5月には決まっていたという。決断のスピードを支えたのは社員の役割が明確化されている組織体制や、ITツールに強い社員たち。しかし、課題がなかったわけではない。コミュニケーション量の低下による一体感が損なわれる事態も経験した。それらを乗り越えて、LAPRASが確立した新しいオフィスや総務の在り方とは。 - 突然すぎて「反対意見が半数」→「ゼロ」に 3日間で“フルリモート化”した企業が、社員を説得できた理由
緊急事態宣言が発出される前の3月末、たった3日間で原則フルリモートワーク勤務への移行作業を行い、11月現在も継続している企業がある。ゲームやVR・AR技術を開発するモノアイテクノロジー(神戸市)だ。フルリモートワークへの移行は初めからスムーズだったかというと、そうではない。モノアイテクノロジーではコロナ以前は全くテレワークを実施しておらず、3日間でフルリモートワークに移行することも、社長の鶴の一声で決まった。当時、管理部に寄せられた意見は「反対が約半数」だったという。その状況を乗り越えて、全社合意で今後もリモートワークを中心にするよう決まるまで、どのようなことがあったのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.