目次
はじめに
ここ数年、急速に広がっているEmotet対策で、メールの添付ファイルに警戒している方も多いと思いますが、ウイルスとは関係なく、メールにパスワード付きZIPファイルを添付すること自体にリスクがあることはご存知でしょうか。
今回は、メールにパスワード付きZIPファイルを添付することのリスクとその代替手段について解説します。
PPAP方式とは
PPAP方式とは、
- 送りたいファイルをパスワード付きZIPファイルに圧縮
- メールに上記ファイルを添付し送信
- 別のメールでパスワードをお知らせ
という手順で、重要なファイルの受け渡しを行うことです。
みなさんも実際に目にしたり、利用した経験があるのではないでしょうか。
PPAP方式がセキュリティ的に問題がある理由
パスワード付きZIPファイル自体が安全ではない
パスワードを設定し、ZIPに圧縮したファイルだけが流出しても、パスワードがもれなければ開くことはできないと思っていませんか。
ZIPファイルにパスワード設定をすると、ファイルに保存されたデータは暗号化されますが、ファイル名や日付、サイズ、属性といった情報は暗号化されないため、
例えば、ファイル名に顧客名が含まれていた場合、ファイルを開かずとも、顧客名は見られてしまいます。
また、パスワードを設定しているということに安心されている方は多いと思いますが、
パスワードを知らない人が、ZIPファイルを開くのは、みなさんが思っている以上に簡単です。
ログインに何度か失敗するとロックが掛かったり、登録メールアドレスにメールが送信されたり、何らかの安全対策が作動するシステムが多いですが、
パスワード付きZIPファイルにはそのような安全対策がないため、無限にパスワードの組み合わせを試せます。
攻撃者に専門スキルがなくても、時間をかければいつかは正解のパスワードを見つけてしまう可能性が高いです。
別メールでパスワードを送るリスク
ファイル添付したメールを別の相手に誤送信した際の対策として
別のメールでパスワードをお知らせしているわけですが、
同じ通信経路でパスワードを送信した場合、1通目に続き2通目も盗み見られてしまう可能性が高いと言えます。
パソコンが遠隔操作されている、ネットワーク盗聴、パソコンモニターの後ろから覗き見、パソコンをそのままにして離席した隙に操作される等、
メールを盗み見られる危険な状況はいくつもあるのです。
また、1通目に続き、2通目のメールも同じ相手に誤送信してしまう可能性もあります。
ウイルス攻撃を受ける可能性
冒頭で少し話題に触れていますが、ここ数年で急速に広がっているEmotetをはじめとした「マルウェア」。
メールに添付されたデータにマルウェアが仕込まれていると、データを開いた際に感染してしまいます。
多くの方が、ウイルス対策ソフトを用いて、メールをウイルスチェックし、感染防止に努めていると思いますが、ウイルス対策ソフトには、「暗号化したファイルをスキャンできない」という問題があります。
このような面からも、暗号化したファイルをメールに添付すべきではありません。
PPAP方式の代替手段
PPAP方式には問題がいくつもあることが理解いただけたと思います。
PPAP方式の代替手段として以下が挙げられます。
- ファイル転送サービス
- チャットサービス
- クラウドストレージサービス
- グループウェア
政府も2020年11月24日、内閣府および内閣官房で採用していた自動暗号化ZIPファイルの運用廃止を表明し、クラウドストレージサービスを使った共有方法を取り入れました。
ファイル転送サービス
ファイルを特定のサイトにアップロードし、ダウンロード用リンクを先方に共有し利用。
登録が不要で手軽、無料で利用できるサービスが多いなどの手軽さがかります。
しかし多くの利用者がひとつのサーバーを共有、利用するためリスクもあり、
ダウンロード用リンクのメール誤送信というヒューマンエラーも起こりえます。
もし、ファイル転送サービスを利用する場合は、「企業向けファイル転送サービス」を必ずご利用ください。
通信の暗号化、送信権限の制限、受診相手のアドレス制限、アクセスログの記録といった機能が提供されています。
チャットサービス
チャットについている機能でファイル送信する場合、メール添付よりはサイバー攻撃を受けるリスクが低くなります。
しかし、チャットサービスによりセキュリティ性能が違いますので、よく検討する必要があります。
もし、チャットサービスを利用する場合は、セキュリティ性能が高いビジネス用チャットツールを必ずご利用ください。
クラウドストレージサービス
サーバー上にファイルを置いて、社内外で共有することが可能です。
ファイルの公開範囲を制限することでセキュリティが高くなります。
クラウドストレージサービスは、クラウドサービスの特徴である利便性や拡張性を備え、費用も安く導入がしやすいのが特徴です。
安全性が求められるビジネス利用には、セキュリティ対策が万全な有料のクラウドストレージサービスをお勧めします。
アップロードされるすべてのファイルをウイルスチェック、保存したデータの全文検索など便利な機能が提供されているサービスもあります。
グループウェア
組織内をグループ化して、チャット、スケジュール、オンライン会議など様々な機能が提供されています。
グループ内外でのデータ共有が可能です。
様々な機能が搭載されているため、どの機能が必要か不要かの判断をし、
無料トライアルを利用して、使い勝手のいいサービスを選ぶことが大切です。
まとめ
今回は、PPAP方式のリスクと代替手段について解説しました。
代替手段には、導入がしやすく、利便性に優れたものが多いです。
自社に合った手段を検討してみてください。
セキュリティ事故の大半は過失や故意により起こります。
社内で定期的な研修やチェックを行い、従業員のセキュリティ意識を高めることも大切です。
執筆者
株式会社カイラステクノロジー
セキュリティエキスパート
セキュリティ重視のシステム「Armana」の開発、法人向けセキュリティコンサルティングを担当しています。
IT・セキュリティ・高度化するセキュリティ脅威に関する知識と、業務効率を考慮した記事をご提供します。