パスワード付き圧縮ファイル(PPAP)はとても危険。いますぐ止めて

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

私は日本のある金融機関から「インボイスをパスワード付きの圧縮ファイルにて送信ください」と連絡を受けて絶句してしまいました。いまは2021年。金融機関が数々のセキュリティを突破するこの方式をいまだ利用していることに大変驚きました。

日本だけで用いられるパスワード付き圧縮ファイルを利用について、使っている理由を利用している企業関係者に2010年頃に問い合わせたところ、おおよそ以下のような回答でした。

1.電子メールサーバ間で情報を盗まれることを回避したい
2.間違った宛先にファイルを送信してしまった際に開けなくするため


しかし、2010年時点でこれらの考え方は情報漏洩を含むセキュリティ面で間違っており、2000年頃から見直しがなされていない大変危険な運用であると指摘しました。

パスワード付き圧縮ファイル(PPAP)はとても危険で間違った利用方法

電子メールサーバ間で情報が盗まれることは、電子メールサーバ間が暗号通信化されているため、2010年当時でも行われることはなく、メールサーバが非暗号通信であった2000年頃の話です。そういえば、2021年の現在でも電子メールサーバが非暗号通信で運用されているキャリアメールアドレスというものもまだありました。国際的には財政的に苦しい小国でも電子メールサーバは暗号化されている昨今において、同じ日本人としてとても恥ずかしく感じています。暗号化されている電子メールサーバ間で情報が盗まれるのであれば、オンラインバンキングも利用できませんし、ネット通販も利用できないことになってしまいます。電子メールサーバが暗号化されているかは、システム管理者に確認するか、グーグルの「透明性レポート」にて確認することができます。

間違った宛先に連絡をしてしまうについては、電子メールの宛先欄に日頃関連性のない電子メールアドレスを入力すると警告表示されない古い電子メールソフトを利用しているのでしょうか。また、最初の電子メールアドレスを宛先に入力すると、日頃の活用状況から関連候補を表示してくれるので、それを選択するだけの電子メールソフトではないのでしょうか。

しかし、こうした最近の電子メールソフトを利用しても宛先を間違えて送信してしまうことが、人にはあるでしょう。国際的には、着信先がパソコンだけでなくスマートフォンであることも考慮し、添付ファイルは極力避け、「クラウドファイル共有サービスの共有リンク」を連絡するのが、いまや一般的です。共有リンクであれば、間違った送信先にメールを送った後でも共有リンクを切れば良く、また共有リンクには共有者の電子メールアドレスなどを指定しておき、二重に情報提供範囲を限定させることができます。

セキュリティと情報漏洩を担保した方法

電子メールにそのままファイルを添付することで、以下のセキュリティエンジンが異なる仕組みで多層セキュリティを実現することができます。

  1. 次世代ファイアウオール装置がもつ電子メール監査機能でウイルス監査
  2. 電子メールサーバに実装したセキュリティ監査エンジンでウイルス検知
  3. 端末のエンドポイント保護でウイルス監査

これで異なるセキュリティエンジンを用いて3重のウイルス監査が可能になります。

クラウドファイル共有(OneDrivefor business,dropbox,box等)を通じてファイルファイルの受け渡しをした場合

  1. これらファイル共有サービスがもつウイルス検知機能
  2. 次世代ファイアウオール装置がもつhttpsのSSL監査機能でウイルス監査
  3. ダウンロード時のブラウザー(Chrome等)がもつウイルス検知機能
  4. 端末のエンドポイント保護でウイルス監査

これでも異なるセキュリティエンジンを用いて4重のウイルス監査が可能になります。

パスワード付き圧縮ファイル(PPAP)を用いてファイル添付した場合は、

  1. 次世代ファイアウオール装置がもつ電子メール監査機能(暗号化されているため不可能)
  2. 電子メールサーバに実装したセキュリティ監査エンジン(暗号化されているため不可能)
  3. 端末のエンドポイント保護でウイルス監査


このように1つの要素でのみ監査されることになります。ブラックリスト型のエンドポイント保護製品は、新種である未知のウイルスは悪質と判定する要素がないため、起動を許可してしまうことになります。

PPAPは今すぐ運用を停止してください。なお、海外の企業ではファイアウォール装置で監査ができない添付ファイルが電子メールで検出された場合は、送信者へ差し戻し(retuen-to-sender)設定されているのが一般的です。

日本政府もようやく、パスワード付きZIPファイルを全廃する方針を昨年末に打ち出しました。セキュリティの観点から即座に日本独自文化であるこの仕組みがなくなることを願ってやみません。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る