内閣府と内閣官房で脱“パスワード付きZIP”運用を開始 ファイル送信は内閣府のストレージサービス活用
内閣府と内閣官房がパスワード付きZIPファイル送信時の新ルールの運用を開始。今後、外部へのファイル送信には主に共有ストレージを活用する。
平井卓也デジタル改革担当相が打ち出した、パスワード付きファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)の廃止に向けて、霞が関が動き始めた。内閣府と内閣官房は11月26日、ファイル送信時の新ルールの運用を開始。今後、外部へのファイル送信には主に共有ストレージを活用するとしている。
内閣府では25日、全職員に新ルールを通知した。これまでは職員が外部向けのメールにファイルを添付して送信すると、ファイルのZIPファイル化からパスワードメールの送信までを自動化するシステムを導入していたが、このうちパスワードの同時送信機能のみを停止した。事実上、PPAPを廃止した。
内閣府情報化推進室によると、今後は外部へのファイル送信には内閣府のストレージサービスを活用し、ファイルを共有する。外部の事業者などには内閣府のシステムにアクセスするためのURLとログインパスワードを発行。URLやパスワードは1回限りの使い捨てになるという。
これまで内閣府はストレージサービスの利用を容量が大きいファイルの共有などに限定していたが、今後は利用頻度を高めるとしている。
一方、内閣府のシステムにアクセスできない事業者に対しては、メールでファイルを送信するが、プロジェクトの立ち上げ時に決めたパスワードを利用して開封してもらう。単品ファイルの場合は、WordやExcelなどの暗号化機能を使い、複数のファイルを送信する際はZIPファイルでまとめて暗号化する。単発事業の受注者に対しては、例外的な運用として電話などでパスワードを共有するという。
内閣府ではメール内容の傍受や誤送信の防止を目的として、2011年頃からPPAPを採用。しかし、同じ経路でファイルとパスワードを送信するため、専門家などからセキュリティの脆弱性を指摘する声が挙がっていた。
マルウェアによる攻撃増加もルール変更に影響
マルウェアによるサイバー攻撃の増加もルール変更の背景にある。情報化推進室の担当者は「『Emotet』や『IcedID』のようなマルウェアはパスワード付きZIPファイルとして送られてくることが多い。セキュリティソフトのチェックも通過してしまうため、ZIPファイルを解凍するまで中身が分からない」と指摘。「ウイルス感染の危険性や、パスワード付きZIPファイルの受信を拒否する事業者が出てくる可能性があるため、9月頃から従来の運用ルールの変更を検討していた」と説明した。
「Emotet」や「IcedID」を巡る注意喚起はセキュリティ業界にも広がっている。JPCERT/CC(JPCERTコーディネーションセンター)は「Emotetが9月に入って国内で急拡大している」として注意を呼び掛けた他、トレンドマイクロは11月9日に自社のブログで「『EMOTET』に続き『IcedID』の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意」とする見解を発表。ユーザーに対し、不審なメールやファイルを開かないよう注意を呼びかけている。
関連記事
- 霞が関でパスワード付きzipファイルを廃止へ 平井デジタル相
平井卓也デジタル改革担当相が中央省庁の職員が文書データの送信で使用するパスワード付きzipファイルを廃止する方針であると明らかにした。「デジタル改革アイデアボックス」の意見を採用した。 - 政府の「アイデアボックス」投稿をTwitterで共有 「パスワードZIP全廃」に危機感抱いた個人が開発
デジタル化推進についての意見を国民から募る「デジタル改革アイデアボックス」のアイデアが基でパスワード付きZIPメールの廃止が決まったが、これに危機感を抱く人も。個人開発者の矢野さとるさんは、「重要な政策はもっとオープンに議論すべき」と、アイデアボックスの内容をTwitterに自動投稿するアカウントを始めた。 - ピコ太郎? パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの?
ピコ太郎の「ペンパイナッポーアッポーペン」(PPAP)は4年前に流行した。今、廃止が取り沙汰されているパスワード付きZIPメールの“セキュリティしぐさ”もPPAPと呼ばれる。なぜそのような呼称がついたのだろうか。 - “Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
一般財団法人日本情報経済社会推進協会(JIPDEC)が、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。 - パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相
平井卓也デジタル改革担当相がメールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、11月26日から内閣府、内閣官房で廃止すると発表した。今後、外部ストレージサービスなどを活用し、ファイルを外部と共有する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.