Blog
ZEROTOPブログ

株式会社ZEROTOPのスタッフブログです

パスワード付きZIPファイルは廃止へ…なぜダメなのか、その代替案は?

PPAP(パスワード付きzipファイル)というのはメールで添付ファイル送信時に、ファイルがZIP化され、直後にパスワードが送られるシステムで、官民問わず多く利用されています。しかし、2020年11月17日に平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPの使用を廃止する方針を打ち出しました。平井氏は会見で、PPAPについて「セキュリティ対策や受け取り側の利便性の観点から適切ではない」と明言しました。本記事では、なぜPPAPはダメなのか、何か代替できる方法はないのか、ということについて解説します。

なぜパスワード付きZIPファイルはダメなのか?

ファイルにパスワードを掛ければ誰にも見られませんし、受信者しかパスワードを認証できません。多くの企業で使われているからという点で問題はないように思えます。しかし、パスワード付きファイルの運用には、下記2点のようなセキュリティ上の欠点が挙げられます。

①マルウェアの拡散を助長

例えば「Emotet」(エモテット)です。Emotetは主にEメールを感染経路とするマルウェアです。受信者が添付ファイルを開くと、Emotetがダウンロードされます。当初はオンラインバンキングのアカウント情報を窃取することを目的としたマルウェアとして報告されていましたが、最近では主にEメールによる感染が報告されており、日本国内の組織へ広く着信しています。本来メールサーバーにセキュリティ対策製品が施されていれば、基本的に自動検知・防御することができます。しかし、添付ファイルが暗号化されているとこれらのシステムが機能できなくなります。それを利用して「Emotet」は、Word形式のファイルをパスワード付きZIPにして添付し、パスワードを記載した偽装メールを送り、ユーザーに解凍させてマルウェアに感染させようとします。
一旦Emotetに感染すると、個人情報の流出や重要なデータの窃取、Eメールによる更なる拡散などの被害が発生する可能性があります。

②「二要素認証」ではないため、攻撃者から奪取しやすい

近年「二要素認証」をよく聞くようになりました。「二要素認証」とは、本人確認に2つ以上の異なる要素を組み合わせることで、セキュリティを強化する認証方式です。例えばSNSやインターネットバンキングなどのクラウドサービスにログインする時、従来のパスワード認証に加え、スマートフォン宛に送られてきたワンタイムパスワードを利用する方式となります。攻撃者にとっては、パスワードとスマートフォンの両方を奪取していないと突破できないことから、認証強度を高める事が可能です。

一方、パスワード付きzipファイル+パスワード別送というPPAPの運用は、結局同じ経路で送信してしまうので、攻撃者はメールという単一の要素を攻撃すればよくなります。わざわざ手間をかけて作ったzipファイルなのに、結局セキュリティの観点からあまり意味がないというわけです。

代替案は?何か選択肢があるのか?

では、パスワード付きzipファイルを廃止する理由が分かりますが、ファイルを安全に送るには代替できる方法はないのでしょうか。

① 外部オンラインストレージ

現在よく見られるPPAPの代替案は、オンラインストレージサービスを利用することです。つまりオンラインストレージ(クラウド)にファイルを置き、そこにパスワードと有効期限を設定してメールで通知する方法です。第三者のクラウド運営者からストレージを購入し、クラウドにデータを置くと、どこからでもアクセスできるという魅力があります。また万が一、デバイスが故障した場合にもオンラインストレージ上のデータに影響はないため、安心してデータ管理ができます。


一方、外部オンラインストレージは100%安全なのかというと、リスクがゼロというわけではありません。外部オンラインストレージを使うと、企業の外部にデータを保有することになるので、さまざまなリスクが懸念されます。例えば、障害によるデータ消失、情報漏洩のリスク、管理の手間、サービスそのものがハッカーに狙われて情報流出するなどの可能性があります。また、クラウド運営者からデータは見ることができる状態なので、重要なデータが見られてしまうかは正直不透明です。

② 自社のオンラインストレージを設置

外部のオンラインストレージサービスを利用することも良いですが、自社にオンラインストレージを立てたら、セキュリティやプライバシーなどの心配はありません。株式会社ZEROTOPでは「Waffle Cell」という小型サーバーを提供しています。その中には「Nextcloud」というプライベードクラウドがあり、より安全に簡単に自社にオンラインストレージを作ることができます。データはクラウド上ではなく「Waffle cell」内にあるので、情報流出の心配もありません。写真や動画などの大容量データを共有したい場合、一時的に共有URLを発行し、パスワードや有効期限を設定してクライアントや制作会社などと安全にデータをやりとりすることができます。

Waffle cellにデータを保管すると、クラウドと同様にネット環境さえあれば、どこからでも、どんなデバイスからでも、データやアプリケーションへのアクセスが可能です。クラウドと異なりデータはWaffle cellの中にあるので、誰からも見られることはありません。フォルダ自体を暗号化することも可能なので、万が一、不正なアクセスがあった場合でも、情報流出を防ぐことができるので、より厳格な管理が必要な特定個人情報であるマイナンバーや大切な顧客の個人情報など、重要なデータの管理にも有効です。

また、「Waffle cell」の導入には初期サーバーの購入費用だけで、保守・運用面でのコストがかからないのも大きなメリットだと言えます。全体的にインフラにかかる経費が削除できます。

まとめ

情報通信技術の発展に伴い、サイバー犯罪は増加し、多様化し続けています。データアクセスの利便性とセキュリティ強化を如何に両立させるかは、企業の多くが抱える課題だと言えます。中央省庁では「パスワード付きzipファイル」の運用を廃止する方針を打ち出しました。この機会に、民間企業でも自社の運用状況を見直しつつ、セキュリティに優れた対策を検討しましょう!

Waffle Cell

ZEROTOPはお客様のニーズに合わせて、最適な解決策をご提案いたします。
ぜひお気軽にお問い合わせください。
詳細はこちら⇒https://wafflecell.i-seeds.ne.jp/

カテゴリー一覧