「ZIPで送ります。パスワードはあとで送り ます」は、一体なぜダメなのか

Snagit1_18.png
Yahoo!ニュース
Yahoo!ニュース Yahoo!ニュースは、新聞・通信社が配信するニュースのほか、映像、雑誌や個人の書き手が執筆する記事など多種多様なニュースを掲載しています。

これは、あくまで「パスワード」をかけた圧縮ファイルがだめ、ということです
よね。

ZIPは、圧縮やパスワードをつける以外に、複数あるファイルを一つにまとめる、
パックしておく、という使い方があります。

パスワードのないZIPは、今まで通り使えるはずですので、この点は誤解のない
ように、と心配しています。

平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に
「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしまし
た。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見
を採用したものです。

暗号化ZIPファイルの中にあるディレクトリ構造やファイル名は確認できてしまう

 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。

 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。

 プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール添付のファイル送信について」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。

 ところで、世論の動向を受けてパスワード付きZIPファイルの添付をなんとなく「悪いこと」であるとは理解しつつも、厳密に「何が悪いのか」を説明できる人は少ないように思えます。セキュリティは対策手法だけでなく「なぜその方法が有効か」を学ぶことが重要です。本稿でパスワード付きZIPファイルの添付をやめる意味を考えてみましょう。

パスワード付きZIPファイルは無意味? 3つの理由を説明
 当たり前ですがパスワード付きZIPファイルは、パスワードがなければ開けないため、パスワードを知られなければ誰にも見られません。しかしWindowsでパスワード付きZIPをダブルクリックすると、パスワードなしでディレクトリ構造やファイル名を確認できます。この点だけでもパスワード付きZIPファイルは、完全な「暗号化」ではないと理解できると思います。

 パスワード付きZIPファイルは、パスワードを知らなくても入力を何度でも試行できる点にも注目しましょう。通常のWebサイトであればパスワード入力が何度も実行された場合、ロックをかけることも可能です。一方でZIPファイルは、パスワードを総当たりすればいつかは解除できてしまう可能性がありますし、ZIPパスワードを無理やりこじ開けるアプリも数多くリリースされています。

 最も深刻な問題は、メールのセキュリティ機構をすり抜けることです。企業が導入するようなメールのセキュリティソフトは、メール本文に書かれたURLや添付ファイルのスキャンを実施します。

 セキュリティソフトの中には、マクロを含む「Microsoft Word」ファイルだった場合、マクロにマルウェアが仕込まれているかどうかを直接スキャンして確かめたり、ZIPファイルの中身を展開してスキャンしたり、実行ファイルをサンドボックスで疑似的に実行させて挙動を見たりするものもあります。

 一方でこれらのセキュリティソフトは、パスワード付きZIPファイルを展開できなかったり、中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。攻撃者にとってここが絶好の「穴」です。実際にマルウェア「Emotet」の感染拡大手法においては、パスワード付きZIPファイルを利用した攻撃事例も観測されています。

 以上の理由からZIPファイルは、パスワードを付けずに添付して送信した方がむしろ安全かもしれません。しかし、その際には「誤送信」のリスクも発生するため、それに向けた対策を講じる必要があるでしょう。

次ページは:重要なのはやめることではなく「何に代替するか」

重要なのはやめることではなく「何に代替するか」
 パスワード付きZIPファイルの添付をやめることは大切ですが、問題はその後どうやってファイルの送受信を実施するかです。これについては、デジタル相やfreeeも触れていません。JIPDECは「送信先や取り扱う情報などを踏まえてリスク分析を実施した上で、必要かつ適切な安全管理措置を講じてほしい」という表現にとどめています。

 代替策を考えるとすれば、定石は「クラウドストレージを利用して適切にアクセス権を設定する」でしょう。これを実現するためには、自社においては「クラウドストレージにアップロードしていいかどうか」を判断するポリシー策定が必要です。取引先に対しては、自社と一緒のサービスを利用してもらうための調整が発生します。

 クラウドストレージサービスの利用においてはセキュリティを考慮し、ファイル共有のURLを「期限付き」に設定するといった工夫により、利用範囲を狭めた運用が必要です。アクセス数やダウンロード数の確認ができる方法が望ましいため、個人向けではなくエンタープライズ向けの監査機能を持つクラウドストレージサービスを利用しましょう。

 短期的には、確実な暗号化が不要であればそのままファイルを添付してメールを送信する運用も現実的です。もちろん自社と送信先ともに、添付ファイルをスキャンするメールセキュリティソフトを導入していることが前提です。

 実際のところ、パスワード付きZIPファイルの添付は、パスワードもメールで送信している以上、添付ファイル付きメールが“盗聴”された場合、パスワードも“盗聴”される可能性が高いため、手間がかかる割にほとんど意味がありません。本当にその情報を知られたくないのであれば、異なる手法で確実な暗号化を実施した方がいいでしょう。パスワード付きZIPファイルのような無意味な運用を少しでも減らし、効率的に業務を進めていきましょう。

ITmedia エンタープライズ

目次