パスワード付きZIPファイルのメール送信は何が問題なのか “本当に意味のあるセキュリティ対策”を考える
今回は「パスワード付きZIPファイルのメール送信は何が問題なのか “本当に意味のあるセキュリティ対策”を考える」についてご紹介します。
関連ワード (入力、別途送信、直接等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
業務データを社外の関係者に送るとき、皆さんはどんな方法を使っているだろうか。今はクラウドストレージサービスの利用など手段が増えているが、メールにファイルを添付して送る場面もまだまだ多いはずだ。
その中には、ファイルをパスワード付きZIPファイルに圧縮してから送信し、直後に解凍用パスワードをメールで追って送るという方法を会社から指示されている人もいるだろう。しかし、このやり方を見直す動きが活発化している。パスワード付きZIPファイルは運用を工夫しないと“無意味なセキュリティ対策”になってしまう場合が多いからだ。
目次
“PPAP”見直しのきっかけは
パスワード付きZIPファイルの運用を見直す機運が生まれた背景はこうだ。2020年11月、平井卓也デジタル改革担当大臣は、中央省庁の職員が文書ファイルなどをメールで送信する際に使用していた「パスワード付きZIPファイル」を廃止すると発表した。パスワード付きZIPファイルは民間企業でも多く利用されているが、政府の直接的な言及により、この運用が強く見直されるきっかけになった。
パスワード付きZIPファイルの問題が語られる際に、専門家の間では「PPAP」という揶揄(やゆ)表現が使われる。これはパスワード付きZIPファイルをメールで送るときに、ほとんどの場合はパスワードを知らせるメールを別途送信する。この運用方法の工程を「Password付きZIPファイルを送ります、Passwordを送ります、A暗号化、Protocol」と表現し、それぞれの頭文字を取ったものだ。
PPAPの何が問題なのか
PPAPの主な問題点としては、「ネットワーク盗聴」「暗号強度」「ウイルス対策ソフトウェアの見逃し」の3点がある。スマートフォンやタブレットのメールアプリでは暗号化されたファイルを開けないことも多く、労働生産性が落ちるという問題もある。先に挙げた3つの問題について1つずつ説明しよう。
メールでZIPファイルを送り、同じ経路のメールでパスワードも送ってしまうことが問題だ。メールの送信経路のどこかで攻撃者がネットワークを盗聴していたら、ZIPファイルだけでなくパスワードも簡単に入手できてしまうことになる。これではファイルを暗号化しても意味はない。
パスワード付きZIPファイルをメールで送るのであれば、パスワードは電話など別の経路で知らせるのが本来の趣旨にのっとったやり方だ。
2つ目は暗号強度だ。冒頭で解説した通り、中央省庁や多くの日本企業はパスワード付きZIPファイルの暗号化機能を機密保持に利用してきた。ここであらためてZIPファイルの技術仕様書を確認すると、無線LANのセキュリティ対策機能である「WPA」(Wi-Fi Protected Access)でも使われている「AES」(Advanced Encryption Standard)など、セキュリティ強度が高い暗号化アルゴリズムが使われている。
しかし、ZIPファイルの圧縮解凍ソフトウェアは数多く存在し、ZIPファイルの仕様書に記述がある暗号化アルゴリズム全てには対応できていないものも少なくない。高度なアルゴリズムでファイルを暗号化しても、受け取る側が使用しているソフトウェアがそのアルゴリズムに対応していなければ解読できないという使い勝手の問題もある。
この課題を避けるには、全ての圧縮解凍ソフトウェアが対応している「Traditional PKWARE Encryption」(通称:ZIPCrypto)というアルゴリズムを使うことになる。実際、PPAPではこのアルゴリズムを使用することがほとんどだ。
しかし、ZIPCryptoアルゴリズムは暗号強度が低く、そもそも仕様書に「セキュリティがあまり問題にならない場面や、互換性の問題を避けたいときを除いては使うべきではない」という記述がある。セキュリティの専門家が試したところ、ZIPCryptoで暗号化したファイルは5、6年前に発売されたPCでも、専用のソフトウェアを使って簡単にパスワードを解析できてしまうという。
3つ目はウイルス対策ソフトウェアの見逃しだ。マルウェアに感染しているファイルをパスワード付きZIPファイルにして暗号化してしまうと、ウイルス対策ソフトウェアがマルウェアを検知できず、素通ししてしまうことがあるという問題だ。
最大の問題は「対策をした」と思ってしまうこと
PPAPの問題点として、利用者が「十分なセキュリティ対策になっている」と考えてしまうこともある。PPAPを自動化する、つまり従業員が添付ファイル付きメールを送信したら、全ての添付ファイルを暗号化して送信し、パスワード通知メールも自動的に送信するサーバソフトウェアも存在する。そして、セキュリティ対策の一環としてこのようなソフトウェアを導入している企業も少なくない。
安心を買うつもりで導入するのだろうが、実際は「企業としてセキュリティ対策に取り組んでいる」という意味のない満足感を得ているにすぎない。
本当にセキュリティを確保したいと考えるなら、今すぐPPAPを止め、オンラインストレージを経由してファイルを渡すなど、別の策を早急に検討すべきだろう。さらにいくら自社がPPAPを止めたとしても、PPAPにまだ問題意識を持ち合わせていない取引先から添付ファイル付きメールが送られてくる状況は当分続くと考えられる。やはり、1台1台の端末のセキュリティレベルを上げること、つまり実効性のあるセキュリティ対策の実施が、企業が脅威から身を守るためには最優先すべき課題と言えそうだ。
マルウェアの感染を無かったことに
そこで日本HPが提案する対抗策が、マルウェアをマイクロ仮想マシンの中に隔離して消去する事が可能な「リアルタイムの脅威隔離保護」機能の活用だ。悪意のあるWebサイトへ誘導するURLをクリックしたり、悪質なファイルをダウンロードしてしまったり、受信したメールに添付されているマルウェアをクリックしてしまうなど、エンドユーザーが危険な行為をしてしまったとしても端末を守れるソフトウェアだ。
この「リアルタイムの脅威隔離保護」機能はパスワード付きZIPファイルもそのままマイクロ仮想マシンの中で、エンドユーザーが直接パスワードを入力して展開できるので、メールゲートウェイ製品やアンチウイルス製品がパスワード付きZIPファイルを検査できずに見逃してしまった場合であっても安全に開くことができる。
マイクロ仮想マシンとPC本体のメモリ空間の間はハードウェアのレベルで隔離しているため、マルウェアが動作してもPC本体に悪影響を及ぼすことはない。また、マイクロ仮想マシンでマルウェアなどが動作したとしても、仮想マシンを消去すれば悪意のあるソフトウェアも同時に消去されるため、PC本体にマルウェアなどが残る心配もない。
日本HPではこの「リアルタイムの脅威隔離保護」機能に加え、デバイスの保護状態が一目で把握できるダッシュボードや、使用しているPCに重大な脅威が発見された場合、即座にその内容をメールにて通知・レポートする、HPセキュリティエキスパートによるモニタリングサービスをパッケージして「HP Proactive Security」として提供している。
エンドユーザーにしてみれば、特にセキュリティを意識せずにPCを普段使いしたままでも高いセキュリティレベルが確保できるし、システム担当者としても特に専門的な知識がなくても運用できるので、セキュリティ対策に掛ける工数を大幅に減らすことが可能だ。
テレワーク時代だからこそエンドポイント防御が重要に
新型コロナウイルス感染症の感染拡大により、多くの企業がテレワークに移行した。その結果、企業ネットワークの形が大きく変化した。
従来は企業内のネットワークを守ることに注力していればある程度の対策になっていた。ところが、本格的にテレワーク/リモートワークが普及し始めた今は、従業員が自宅のPCからVPNを通して企業ネットワークに接続するようになる。業務時間外に自宅のインターネット回線を通して悪意のあるリンクをクリック、マルウェアに感染してしまい、そのままVPNで社内ネットワークに接続、マルウェアの感染を広げてしまう──といったあらゆる可能性も検討する必要が出てきた。つまり業務に使うPCであれば、いついかなるときもセキュリティ確保に意識を向けるべきなのだ。
多様な環境が入り交じるニューノーマルな今だからこそ、あらためて「HP Proactive Security」といったセキュリティソリューションを活用し、エンドポイントから守りを固めることを検討してみてはいかがだろうか。
おすすめの記事
関連リンク
関連動画
Copyright © ITmedia, Inc. All Rights Reserved.
入力とは - コトバンク
ASCII.jpデジタル用語辞典 - 入力の用語解説 - コンピューターに対して情報をデータとして与えること。キーボードからの文字入力、フロッピーディスクやMOなどの外部記憶装置からのデータの読み込みなどがこれにあたる。また、デジタルカメラなどからの画像入力、マイクからの音声入力など...
入力とは何? Weblio辞書
「入力」の意味は 機械装置・電気回路などに動力または信号を与えること。Weblio国語辞典では「入力」の意味や使い方、用例、類似表現などを解説しています。
「#」や「¥」などの記号はどうやって入力するの? | 1から ...
キーボードの記号の入力には、実は法則があります。ここでは、意外と入力に困ることが多い「#」や「¥」などの記号の入力方法を学習します。
Google 日本語入力 – Google
思いどおりの日本語入力。Google 日本語入力は、変換の煩わしさを感じさせない思いどおりの日本語入力を提供します。
記号の「バックスラッシュ()」をキーボードから入力する ...
· 全角で入力する場合. 記号の「バックスラッシュ」を全角で入力する手順は、次のとおりです。. お使いの環境によっては、表示される画面が異なります。. 記号の「バックスラッシュ」を入力したいアプリケーションを起動します。. 起動したアプリケーションに、日本語で次の文字を入力します。. 入力途中に変換の候補が表示された場合は、【↓】キーで「」を ...
ローマ字入力/かな入力を切り替えるには? - FMVサポート ...
[Alt]+[カタカナひらがな]キーを押して、「かな入力」と「ローマ字入力」を切り替えます。
「ローマ字入力」 と 「かな入力」 の切り替え方法
Windows のキーボード入力方法を 「かな入力」 から 「ローマ字入力」 に、また、「ローマ字入力」 から 「かな入力」 に切り替える方法を初心者向けに説明したマイクロソフトの情報です。(PC とーく)
IMEって何? - FMVサポート : 富士通パソコン
パソコンに日本語を入力するときは、キーボードから「かな入力」か「ローマ字入力」でひらがなを入力し、それを漢字やカタカナなどを含む文章に変換します。この変換の役割を担うのが「IME」で、“日本語入力ソフト”とも呼ばれます。
[043929]「 _ 」(アンダースコア)を入力する
ローマ字漢字入力の場合 [Shift]+ キーを押して「 _ 」を入力し、 [F10]キーを押す カナ漢字入力の場合 [Shift]+ キー押して「ろ」を入力し、[F11]キーを押して「 _ 」に変換してから、[F10]キーを押す ページ …
Windowsで入力している¥は (バックスラッシュ) - Qiita
· 操作方法:テキストボックスに を入力してEnter https://wordmark.it/ Mac OSだとどうなるか? ¥は そのまま ¥(円記号)0xA5で入力される Option + ¥で (バックスラッシュ)0x5Cを入力できる。 参考:Macにおけるバックスラッシュ
11551:
2021-03-21 21:43お返事頂きありがとうございます。送信専用フォームにつき、返信はお受け取ることができません。お手数をおかけしてしまい申し訳ございませんが、別途新規メールを作成していただきますようお願い致します。 株式会社クソ虫 広報担当ゴミ虫