「問題は出ていない」 パスワード付きZipを“受信拒否”したfreee、決断の理由
配信
一部の企業や官公庁では、ファイルをメールに添付して送るときにパスワード付きのZipファイルとして圧縮、暗号化した形で送信し、追ってパスワードをメールで後送する手法が使われている。「PPAP」と呼ばれる、この手法を見直す動きが出ている。 【画像】ウイルスへの感染を狙う「攻撃メール」の文面 平井卓也デジタル改革担当相は11月17日の定例会見で、パスワード付きZipファイル廃止の方針を明らかにした。翌18日、クラウド会計ソフトを提供するfreeeは、パスワード付きZipファイルをブロックして受信しないようにする措置を発表し、12月から実施している。同社では大きな問題は出ていないという。
パスワード付きZipファイルは、セキュリティを悪化させる
ここ数年、「メールで暗号化Zipファイルを送信し、追ってパスワードをメールで後送する」手法を「PPAP」と名付けて批判する活動を、一部の専門家が続けている。PPAPとは「Password付きZipファイルを送ります」「Passwordを送ります」「暗号化」「Protocol」の頭文字を合わせた呼び名で、「ピコ太郎のPPAP」のパロディーでもある。 なぜ、PPAPが批判されるのか。Zipファイルを暗号化する理由は、ファイルが外部に漏えいした場合でも内容を秘匿するためだ。しかし、そのために同じメールアドレスにパスワードを送信するというのは正当化が難しい。 それだけではない。Emotet(エモテット)と呼ぶウイルスがメールの添付ファイルに潜んで広がりつつある。添付ファイルに潜むウイルスを検出するソフトは存在するが、添付ファイルをパスワードで暗号化したZipファイルにしてしまうとウイルス検出が機能しなくなってしまう。パスワード付きZipファイルはセキュリティ上はむしろ有害なのだ。
サイバー攻撃の脅威に対抗するため、パスワード付きZipを廃止
パスワード付きZip廃止に取り組んだfreeeの土佐鉄平CIO(Chief Information Officer)は次のように話す。 「当社は、何年も前から標的型メール攻撃(メールを侵入手段として使うサイバー攻撃)を受け続けてきた。幸い実害は出ていないが、パスワード付きZipファイルは(freeeで使っている)Googleのビジネス用メールシステムが備える高度なウイルススキャン機能もすり抜ける。『危ない』と感じ、課題として捉えていた」 特に最近は、Emotetと呼ぶ「トロイの木馬」型ウイルスが流行しており、その対策として「パスワード付きZipファイルをブロックする」という措置が推奨されている。メールに添付されたパスワード付きZipファイルは、前述のようにウイルス対策をすり抜けてしまい、ウイルス拡散ルートとして機能するからだ。 土佐氏は「米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、パスワード付きZipファイルをブロックする対策を提唱している。しかるべき機関がそのような報告を出していることに対して、『やっぱりそうだよね』とあらためて認識した」と話す。 freeeではパスワード付きZipファイルをブロックする方法を検討し、同社が利用しているGoogleのビジネス用メールシステムの設定で簡単にできそうだと分かった。 取引先には、「基本的にはパスワード付きZipは送らないでほしい」と伝えた。取引先の中には、自動的にパスワード付きZipを送信するソリューション(「メール誤送信防止ソリューション」などと呼ばれている)を導入しているところもあったが、そのような組織からのメールは例外的にドメインを登録して受信可能とした。「ある1日のサンプルだが、約11万通のメールを外部から受信し、ドメイン数は約1600、そのうち9割でパスワード付きZipをブロックできた。リスク低減に大きく寄与した」 対策のために、どれだけの準備が必要だったのだろうか。 「10月頭にCISAがEmotet対策として『パスワード付きZipファイルのブロック』を提唱している記事を見た。それからGoogleのビジネス用メールシステムの設定の検証に1カ月弱をかけ、11月18日の対外発表まで準備を進めた。設定作業そのものは正味1日もかかっていない。その他、社内用アナウンスのためのドキュメントを作る作業があった」 社内への説明だけでなく取引先にも説明する必要があることから、会社として対外的に公式発表を行うことにした。「お客さまにもご理解いただかないといけないので、広報からも発信することにした」(freeeの広報担当者) 気になることは、パスワード付きZipファイルをブロックしたことで業務に支障が出ていないかどうかだが、土佐氏は「問題は特に出ていない」と話す。
