SBTのスベテ

「パスワード付き ZIP ファイル」 のメール添付、おすすめの代替案とは?

原田 豊久

先日、内閣府と内閣官房にて「パスワード付き ZIP ファイルをメールに添付して別メールでパスワードを送る」という以下の方法を廃止した、と発表されました。これは、以前より一部の専門家から PPAP(Password 付き ZIP ファイルを送ります、Password を送ります、暗号化、プロトコル) と呼ばれていた方法で、セキュリティ上適切でないという意見も多くありました。

< 廃止されたパスワード付き ZIP ファイルの運用手順 >
  1. 添付したいファイルをパスワードを付けて ZIP 暗号化
  2. 1通目のメールに「パスワード付き ZIP ファイル」を添付して送信
  3. 2通目のメールで解凍用パスワードを通知

日本企業ではこの手法が広く普及しており、日常的に利用していたため驚いた、という方も多いのではないでしょうか。今回は、パスワード付き ZIP ファイルのメール添付に関する問題点を整理し、ファイルを安全にメール共有する、具体的な方法をご紹介します。

「添付ファイルの WEB ダウンロード化機能を標準で持つメールセキュリティサービス」はこちら






パスワード付き ZIP ファイルのメール添付は、なぜ問題なのか

パスワード付き ZIP ファイル

政府の会見やそれに関連するニュース記事を見ていくと、最も問題視されているのは、モバイル端末からメールを見る際に「パスワード付き ZIP ファイル」だと添付ファイルが閲覧できないことだ、ということがわかります。業務のメールをパソコンのみで行っていた時代とは違い、リモートワークが進む現代では、移動中や屋外ですぐにファイルを確認できないのは非効率です。

実際には解凍アプリケーションを追加でインストールすることで閲覧できるようにしているケースも多いと思いますが、社員によって実施有無が分かれ、手間にもなります。この問題以外にも「パスワード付き ZIP ファイル」のメール送付運用には、様々な課題があります。

セキュリティ上有効でないのに、業務効率が低下する

そもそも、ZIP ファイルとパスワードを同一経路で送ることは、セキュリティ上意味がありません。仮に攻撃者が1つのメールを入手する手段を持っていた場合、もう片方も入手できる可能性が高いためです。

2020年12月2日に行った平井卓也デジタル改革担当相による国会答弁では、「ZIP ファイル送付後に自動でパスワードを送付するシステムを利用している場合、セキュリティ対策として有効でない」「この方式は、攻撃者から狙われたり引っ掛けやすいとされている」「本来 ZIP 化すべきでないファイルまで ZIP 化するケースもあり、手間がかかる」と発言されています。


メールを2通に分けても、メールを誤送信したら意味がない

ZIP ファイルとパスワードを2通のメールに分けて送信する運用ですが、1通目のメール誤送信に気付かず、2通目のメールを同一のメールアドレスにを送信してしまっては意味がありません。また、メールのセキュリティシステムでは自動でパスワードを送付する機能を持つものも多いですが、1通目で誤送信した場合は2通目も自動的に誤送信されるため、メールを2通に分ける意味がありません。


ウィルス感染したファイルでも、セキュリティスキャンが実行されない

ウィルス対策ソフトでメールのセキュリティ対策を実施している企業様も多いと思います。しかし、一般的なアンチウイルスやサンドボックスなどの機能を持つメールセキュリティ製品では、ZIP 暗号化されたファイルの中身を検証することができません。

暗号化されずに添付されたファイルのみセキュリティスキャンが実行されるため、ウィルスが検知できない危険性があります。実際、あえてマルウェア付きのファイルを ZIP 暗号化して添付する標的型攻撃も存在します。


ZIP 暗号化の解凍済ファイルはローカル PC に保存され、パスワードも解除されやすい

ZIP 暗号化したメール添付ファイルを解凍すると、ファイルは受信者のローカル PC などに格納されることになります。ファイルの保管先がメールサーバーとローカル PC の2か所に増えることで、セキュリティリスクも増加します。また、ZIP 暗号化は何回パスワードを間違えてもロックがかからない仕様のため、悪意のあるユーザーが何らかのツールによりパスワードを総当たりした場合、簡単に解除される危険性もあります。

「添付ファイルの WEB ダウンロード化機能を標準で持つメールセキュリティサービス」はこちら



メールにて、ファイルを安全に共有する方法とは

パスワード付きの ZIP ファイルを利用せず安全にファイル共有を行う方法について、代替案をご紹介します。メールのセキュリティ製品を選定する際は、これらの機能がついているか、事前に確認することをおすすめします。

Web ダウンロード形式でファイル共有

当社では、添付ファイルは自動で Web ダウンロード形式に変換することを推奨しています。これによりファイルをスマートフォンでも簡単に閲覧でき、一定回数パスワード入力を間違えた場合には自動でロックを掛けることが可能です。また送信側は誤送信に気付いた段階で共有を止めることも可能です。認証が完了しない限りファイルはサーバー側にある状態となりますので、この方法に切り替えることで「ZIP 暗号化を解除されるリスク」が無くなります。


Web ダウンロードでのファイルはオリジナルファイルで共有

今回のニュースで問題点が広く認知されたため、今後「パスワード付き ZIP ファイル」を受信拒否される企業様が増えるのではないかと考えています。Web ダウンロード形式でファイルを送る際は、ZIP 暗号化をせずにオリジナルファイルのままでやり取りすることを推奨します。これにより「ウィルス感染したファイルがスキャンされないリスク」が無くなります。


企業や宛先ごとに、パスワードを固定化

企業や宛先ごとに事前にパスワードを決めて電話などメール以外の手段で共有し、定期的にパスワードを変更する、という運用方法もあります。これにより毎回パスワードを通知する必要が無くなるため、「パスワード誤送信のリスク」が無くなります。

やりとりする人数が多いとパスワードを間違えやすいこと、都度送信者がパスワードを確認する手間を考えると、企業や宛先単位でパスワード設定ができてパスワード付与が自動で行える製品を選定することを推奨します。この場合、パスワードを定期的にメンテナンスして、通知するという手間が生じることには留意が必要です。


システムによる「メール誤送信対策」を講じる

ファイルを Web ダウンロード形式にしたり、企業や宛先ごとにパスワードを固定化しても、宛先を間違えれば意味がありません。同時に誤送信対策も行う必要があります。多くの誤送信ツールでは、メール送信時に誤送信ツールの提供する画面に遷移して、送信内容を確認する流れとなります。しかし、メールを配信するたびに画面遷移をするとユーザー負担が大きいことが問題です。

そこで、Outlook など普段利用しているメールシステムにアドインして、メール配信時に配信内容がポップアップで表示されるものを選ぶことをおすすめします。ポップアップによるチェックは分かりやすい上にユーザーストレスも少なく、未然に間違いに気付くという点では、かなり有効な仕組みとなります。

「添付ファイルの WEB ダウンロード化機能を標準で持つメールセキュリティサービス」はこちら



さいごに

内閣府と内閣官房で「パスワード付き ZIP ファイル」の利用を廃止したというニュースの後、多くのお客様よりメールセキュリティ製品や安全なファイルの共有方法について、お問合せを頂いております。

当社では、複数のメールセキュリティ製品を提供しているため、お客様の環境や要件にあわせて、最適な製品をご案内することができます。来年になりますが、パスワード付き ZIP ファイルを廃止して新しい運用を始めるのに便利な製品を、実際に利用した場合の活用イメージがご覧頂けるセミナーの開催も予定しております。

当社でご提供している自動で Web ダウンロード形式に変換できる製品は、他社と比べ安価に導入いただけます。無料トライアルも実施していますので、まずはお気軽にご相談ください。



関連ページ

クラウド型メール誤送信防止サービス - Mail Safe
「Mail Safe」お問い合わせ・資料請求はこちら
Outlook アドイン型 メール誤送信防止サービス- Mail Alert
「Mail Alert」お問い合わせ・資料請求はこちら

【総合】お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録