パスワード付きZIPファイルのメール送信は何が問題なのか “本当に意味のあるセキュリティ対策”を考える
業務データを社外の関係者に送るとき、皆さんはどんな方法を使っているだろうか。今はクラウドストレージサービスの利用など手段が増えているが、メールにファイルを添付して送る場面もまだまだ多いはずだ。
その中には、ファイルをパスワード付きZIPファイルに圧縮してから送信し、直後に解凍用パスワードをメールで追って送るという方法を会社から指示されている人もいるだろう。しかし、このやり方を見直す動きが活発化している。パスワード付きZIPファイルは運用を工夫しないと“無意味なセキュリティ対策”になってしまう場合が多いからだ。
目次
“PPAP”見直しのきっかけは
パスワード付きZIPファイルの運用を見直す機運が生まれた背景はこうだ。2020年11月、平井卓也デジタル改革担当大臣は、中央省庁の職員が文書ファイルなどをメールで送信する際に使用していた「パスワード付きZIPファイル」を廃止すると発表した。パスワード付きZIPファイルは民間企業でも多く利用されているが、政府の直接的な言及により、この運用が強く見直されるきっかけになった。
パスワード付きZIPファイルの問題が語られる際に、専門家の間では「PPAP」という揶揄(やゆ)表現が使われる。これはパスワード付きZIPファイルをメールで送るときに、ほとんどの場合はパスワードを知らせるメールを別途送信する。この運用方法の工程を「Password付きZIPファイルを送ります、Passwordを送ります、A暗号化、Protocol」と表現し、それぞれの頭文字を取ったものだ。
PPAPの何が問題なのか
PPAPの主な問題点としては、「ネットワーク盗聴」「暗号強度」「ウイルス対策ソフトウェアの見逃し」の3点がある。スマートフォンやタブレットのメールアプリでは暗号化されたファイルを開けないことも多く、労働生産性が落ちるという問題もある。先に挙げた3つの問題について1つずつ説明しよう。
ネットワーク盗聴
メールでZIPファイルを送り、同じ経路のメールでパスワードも送ってしまうことが問題だ。メールの送信経路のどこかで攻撃者がネットワークを盗聴していたら、ZIPファイルだけでなくパスワードも簡単に入手できてしまうことになる。これではファイルを暗号化しても意味はない。
パスワード付きZIPファイルをメールで送るのであれば、パスワードは電話など別の経路で知らせるのが本来の趣旨にのっとったやり方だ。
暗号強度
2つ目は暗号強度だ。冒頭で解説した通り、中央省庁や多くの日本企業はパスワード付きZIPファイルの暗号化機能を機密保持に利用してきた。ここであらためてZIPファイルの技術仕様書を確認すると、無線LANのセキュリティ対策機能である「WPA」(Wi-Fi Protected Access)でも使われている「AES」(Advanced Encryption Standard)など、セキュリティ強度が高い暗号化アルゴリズムが使われている。
しかし、ZIPファイルの圧縮解凍ソフトウェアは数多く存在し、ZIPファイルの仕様書に記述がある暗号化アルゴリズム全てには対応できていないものも少なくない。高度なアルゴリズムでファイルを暗号化しても、受け取る側が使用しているソフトウェアがそのアルゴリズムに対応していなければ解読できないという使い勝手の問題もある。
この課題を避けるには、全ての圧縮解凍ソフトウェアが対応している「Traditional PKWARE Encryption」(通称:ZIPCrypto)というアルゴリズムを使うことになる。実際、PPAPではこのアルゴリズムを使用することがほとんどだ。
しかし、ZIPCryptoアルゴリズムは暗号強度が低く、そもそも仕様書に「セキュリティがあまり問題にならない場面や、互換性の問題を避けたいときを除いては使うべきではない」という記述がある。セキュリティの専門家が試したところ、ZIPCryptoで暗号化したファイルは5、6年前に発売されたPCでも、専用のソフトウェアを使って簡単にパスワードを解析できてしまうという。
ウイルス対策ソフトウェアの見逃し
3つ目はウイルス対策ソフトウェアの見逃しだ。マルウェアに感染しているファイルをパスワード付きZIPファイルにして暗号化してしまうと、ウイルス対策ソフトウェアがマルウェアを検知できず、素通ししてしまうことがあるという問題だ。
最大の問題は「対策をした」と思ってしまうこと
PPAPの問題点として、利用者が「十分なセキュリティ対策になっている」と考えてしまうこともある。PPAPを自動化する、つまり従業員が添付ファイル付きメールを送信したら、全ての添付ファイルを暗号化して送信し、パスワード通知メールも自動的に送信するサーバソフトウェアも存在する。そして、セキュリティ対策の一環としてこのようなソフトウェアを導入している企業も少なくない。
安心を買うつもりで導入するのだろうが、実際は「企業としてセキュリティ対策に取り組んでいる」という意味のない満足感を得ているにすぎない。
本当にセキュリティを確保したいと考えるなら、今すぐPPAPを止め、オンラインストレージを経由してファイルを渡すなど、別の策を早急に検討すべきだろう。さらにいくら自社がPPAPを止めたとしても、PPAPにまだ問題意識を持ち合わせていない取引先から添付ファイル付きメールが送られてくる状況は当分続くと考えられる。やはり、1台1台の端末のセキュリティレベルを上げること、つまり実効性のあるセキュリティ対策の実施が、企業が脅威から身を守るためには最優先すべき課題と言えそうだ。
マルウェアの感染を無かったことに
そこで日本HPが提案する対抗策が、マルウェアをマイクロ仮想マシンの中に隔離して消去する事が可能な「リアルタイムの脅威隔離保護」機能の活用だ。悪意のあるWebサイトへ誘導するURLをクリックしたり、悪質なファイルをダウンロードしてしまったり、受信したメールに添付されているマルウェアをクリックしてしまうなど、エンドユーザーが危険な行為をしてしまったとしても端末を守れるソフトウェアだ。
この「リアルタイムの脅威隔離保護」機能はパスワード付きZIPファイルもそのままマイクロ仮想マシンの中で、エンドユーザーが直接パスワードを入力して展開できるので、メールゲートウェイ製品やアンチウイルス製品がパスワード付きZIPファイルを検査できずに見逃してしまった場合であっても安全に開くことができる。
マイクロ仮想マシンとPC本体のメモリ空間の間はハードウェアのレベルで隔離しているため、マルウェアが動作してもPC本体に悪影響を及ぼすことはない。また、マイクロ仮想マシンでマルウェアなどが動作したとしても、仮想マシンを消去すれば悪意のあるソフトウェアも同時に消去されるため、PC本体にマルウェアなどが残る心配もない。
日本HPではこの「リアルタイムの脅威隔離保護」機能に加え、デバイスの保護状態が一目で把握できるダッシュボードや、使用しているPCに重大な脅威が発見された場合、即座にその内容をメールにて通知・レポートする、HPセキュリティエキスパートによるモニタリングサービスをパッケージして「HP Wolf Pro Security Service」として提供している。
エンドユーザーにしてみれば、特にセキュリティを意識せずにPCを普段使いしたままでも高いセキュリティレベルが確保できるし、システム担当者としても特に専門的な知識がなくても運用できるので、セキュリティ対策に掛ける工数を大幅に減らすことが可能だ。
テレワーク時代だからこそエンドポイント防御が重要に
新型コロナウイルス感染症の感染拡大により、多くの企業がテレワークに移行した。その結果、企業ネットワークの形が大きく変化した。
従来は企業内のネットワークを守ることに注力していればある程度の対策になっていた。ところが、本格的にテレワーク/リモートワークが普及し始めた今は、従業員が自宅のPCからVPNを通して企業ネットワークに接続するようになる。業務時間外に自宅のインターネット回線を通して悪意のあるリンクをクリック、マルウェアに感染してしまい、そのままVPNで社内ネットワークに接続、マルウェアの感染を広げてしまう──といったあらゆる可能性も検討する必要が出てきた。つまり業務に使うPCであれば、いついかなるときもセキュリティ確保に意識を向けるべきなのだ。
多様な環境が入り交じるニューノーマルな今だからこそ、あらためて「HP Wolf Pro Security Service」といったセキュリティソリューションを活用し、エンドポイントから守りを固めることを検討してみてはいかがだろうか。