一部の企業や官公庁では、ファイルをメールに添付して送るときにパスワード付きのZipファイルとして圧縮、暗号化した形で送信し、追ってパスワードをメールで後送する手法が使われている。「PPAP」と呼ばれる、この手法を見直す動きが出ている。
平井卓也デジタル改革担当相は11月17日の定例会見で、パスワード付きZipファイル廃止の方針を明らかにした。翌18日、クラウド会計ソフトを提供するfreeeは、パスワード付きZipファイルをブロックして受信しないようにする措置を発表し、12月から実施している。同社では大きな問題は出ていないという。
パスワード付きZipファイルが送られてくると、自動的に削除する=freee提供パスワード付きZipファイルは、セキュリティを悪化させる
ここ数年、「メールで暗号化Zipファイルを送信し、追ってパスワードをメールで後送する」手法を「PPAP」と名付けて批判する活動を、一部の専門家が続けている。PPAPとは「Password付きZipファイルを送ります」「Passwordを送ります」「暗号化」「Protocol」の頭文字を合わせた呼び名で、「ピコ太郎のPPAP」のパロディーでもある。
なぜ、PPAPが批判されるのか。Zipファイルを暗号化する理由は、ファイルが外部に漏えいした場合でも内容を秘匿するためだ。しかし、そのために同じメールアドレスにパスワードを送信するというのは正当化が難しい。
それだけではない。Emotet(エモテット)と呼ぶウイルスがメールの添付ファイルに潜んで広がりつつある。添付ファイルに潜むウイルスを検出するソフトは存在するが、添付ファイルをパスワードで暗号化したZipファイルにしてしまうとウイルス検出が機能しなくなってしまう。パスワード付きZipファイルはセキュリティ上はむしろ有害なのだ。
Emotetへの感染を狙う攻撃メールの例=IPAの注意喚起よりサイバー攻撃の脅威に対抗するため、パスワード付きZipを廃止
パスワード付きZip廃止に取り組んだfreeeの土佐鉄平CIO(Chief Information Officer)は次のように話す。
「当社は、何年も前から標的型メール攻撃(メールを侵入手段として使うサイバー攻撃)を受け続けてきた。幸い実害は出ていないが、パスワード付きZipファイルは(freeeで使っている)Googleのビジネス用メールシステムが備える高度なウイルススキャン機能もすり抜ける。『危ない』と感じ、課題として捉えていた」
特に最近は、Emotetと呼ぶ「トロイの木馬」型ウイルスが流行しており、その対策として「パスワード付きZipファイルをブロックする」という措置が推奨されている。メールに添付されたパスワード付きZipファイルは、前述のようにウイルス対策をすり抜けてしまい、ウイルス拡散ルートとして機能するからだ。
土佐氏は「米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、パスワード付きZipファイルをブロックする対策を提唱している。しかるべき機関がそのような報告を出していることに対して、『やっぱりそうだよね』とあらためて認識した」と話す。
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、パスワード付きZipファイルをブロックする対策を提唱している=CISAの注意喚起よりfreeeではパスワード付きZipファイルをブロックする方法を検討し、同社が利用しているGoogleのビジネス用メールシステムの設定で簡単にできそうだと分かった。
取引先には、「基本的にはパスワード付きZipは送らないでほしい」と伝えた。取引先の中には、自動的にパスワード付きZipを送信するソリューション(「メール誤送信防止ソリューション」などと呼ばれている)を導入しているところもあったが、そのような組織からのメールは例外的にドメインを登録して受信可能とした。「ある1日のサンプルだが、約11万通のメールを外部から受信し、ドメイン数は約1600、そのうち9割でパスワード付きZipをブロックできた。リスク低減に大きく寄与した」
対策のために、どれだけの準備が必要だったのだろうか。
関連記事
「10月頭にCISAがEmotet対策として『パスワード付きZipファイルのブロック』を提唱している記事を見た。それからGoogleのビジネス用メールシステムの設定の検証に1カ月弱をかけ、11月18日の対外発表まで準備を進めた。設定作業そのものは正味1日もかかっていない。その他、社内用アナウンスのためのドキュメントを作る作業があった」
社内への説明だけでなく取引先にも説明する必要があることから、会社として対外的に公式発表を行うことにした。「お客さまにもご理解いただかないといけないので、広報からも発信することにした」(freeeの広報担当者)
気になることは、パスワード付きZipファイルをブロックしたことで業務に支障が出ていないかどうかだが、土佐氏は「問題は特に出ていない」と話す。
「プライバシーマーク取得に必要」説は「事実と異なる」
パスワード付きZipファイルを使うソリューション(PPAP)を導入する理由として、「プライバシーマークの取得に必要だから」といった理由が挙がる場合がある。だが、プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は11月18日、この説を否定した。
日本情報経済社会推進協会(JIPDEC)の発表よりJIPDECによれば、平井デジタル改革担当相がパスワード付きZipファイル廃止の方針を明らかにした後、同団体が「ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信すること」を推奨しているという「事実と異なる意見」や問い合わせが寄せられた。これを受けて、この説を否定する発表を行った。
同団体は「一つの安全管理措置の方法を推奨することはできない」とした上で、「ファイルをパスワード設定により暗号化して送付し、そのパスワードも同じ経路で送付した場合に伴うリスクを回避するためには、そのパスワードを他経路で送ることが現時点での対策の一つ」であるとしている。
セキュリティ専門家の間では「メールは危ない」との認識がある。メールは誰でも送信でき、組織内の個人の手元まで届くため、標的型攻撃の入口として狙われやすい。そこでビジネス用途では、メールではなくビジネスチャットとクラウドストレージを使うことが望ましいという考え方が広がりつつある。
前述のfreeeでは、ファイルの送信方法としてメールではなくクラウドストレージで共有する方法を推奨している。セキュリティのための最低限の配慮として、「パスワード付きZipを廃止する動きが広がっていくことを当社も望んでいる」とfreeeの土佐氏は語っている。
(星暁雄)
関連記事
からの記事と詳細 ( 「問題は出ていない」 パスワード付きZipを“受信拒否”したfreee、決断の理由 - ITmedia )
https://ift.tt/33SmcUA
No comments:
Post a Comment