平井卓也デジタル改革担当相が打ち出した、パスワード付きファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)の廃止に向けて、霞が関が動き始めた。内閣府と内閣官房は11月26日、ファイル送信時の新ルールの運用を開始。今後、外部へのファイル送信には主に共有ストレージを活用するとしている。
内閣府では25日、全職員に新ルールを通知した。これまでは職員が外部向けのメールにファイルを添付して送信すると、ファイルのZIPファイル化からパスワードメールの送信までを自動化するシステムを導入していたが、このうちパスワードの同時送信機能のみを停止した。事実上、PPAPを廃止した。
内閣府情報化推進室によると、今後は外部へのファイル送信には内閣府のストレージサービスを活用し、ファイルを共有する。外部の事業者などには内閣府のシステムにアクセスするためのURLとログインパスワードを発行。URLやパスワードは1回限りの使い捨てになるという。
これまで内閣府はストレージサービスの利用を容量が大きいファイルの共有などに限定していたが、今後は利用頻度を高めるとしている。
一方、内閣府のシステムにアクセスできない事業者に対しては、メールでファイルを送信するが、プロジェクトの立ち上げ時に決めたパスワードを利用して開封してもらう。単品ファイルの場合は、WordやExcelなどの暗号化機能を使い、複数のファイルを送信する際はZIPファイルでまとめて暗号化する。単発事業の受注者に対しては、例外的な運用として電話などでパスワードを共有するという。
内閣府ではメール内容の傍受や誤送信の防止を目的として、2011年頃からPPAPを採用。しかし、同じ経路でファイルとパスワードを送信するため、専門家などからセキュリティの脆弱性を指摘する声が挙がっていた。
マルウェアによるサイバー攻撃の増加もルール変更の背景にある。情報化推進室の担当者は「『Emotet』や『IcedID』のようなマルウェアはパスワード付きZIPファイルとして送られてくることが多い。セキュリティソフトのチェックも通過してしまうため、ZIPファイルを解凍するまで中身が分からない」と指摘。「ウイルス感染の危険性や、パスワード付きZIPファイルの受信を拒否する事業者が出てくる可能性があるため、9月頃から従来の運用ルールの変更を検討していた」と説明した。
「Emotet」や「IcedID」を巡る注意喚起はセキュリティ業界にも広がっている。JPCERT/CC(JPCERTコーディネーションセンター)は「Emotetが9月に入って国内で急拡大している」として注意を呼び掛けた他、トレンドマイクロは11月9日に自社のブログで「『EMOTET』に続き『IcedID』の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意」とする見解を発表。ユーザーに対し、不審なメールやファイルを開かないよう注意を呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR