【笑えないPPAP】パスワード付きZIPファイルに潜む危険とセキュリティ対策

皆さん、こんにちは。
サーバー保守・運用管理からセキュリティ対策までまるっとお任せ！
【ネットアシスト】のSUZUoです。

タイトルにもあるように、今日のお題は「PPAP」な訳ですが。
ペンパイナッポーアッポーペン、ではありません。
何を今頃そんな古いネタを言ってるんだ、と思わないでください。
お笑いとしてのPPAPはもうほとんど耳にしなくなりましたが、コロナ禍によるデータのクラウド化など、古くからの慣習であるハンコ文化も終わりを告げようとしている今、このPPAPについて理解し、適切なセキュリティ対策を講じなければ、大切なデータを簡単に盗まれてしまう危険性があるのです。

パスワード付ZIPファイルを使用したPPAP運用とは

ビジネスにおいて、資料を添付したメールを送付する際に、ZIPファイルにパスワードを設定し、本題のメールとは別途パスワードを送信する、といった運用をされている企業さまも多いのではないでしょうか。
PPAPとは、下記のように世間一般でよく使われているパスワード付ZIPファイルを送る一連の流れのことを指します。

P（Password付き ZIP暗号化ファイルを送ります）
P（Passwordを送ります）
A（暗号化）
P（Protocol）

元々パスワード付きZIPファイルでのメール送受信は、専門家の中ではだいぶ前から問題視されていましたが、日本企業にとってハンコ文化と同じ慣習のひとつとして溶け込みすぎていることにより、なかなかその運用への疑問を抱くことすらなかった、という方も多いのではないでしょうか。

なぜPPAP運用が危険なのか

ZIPファイルのパスワード解析

パスワード生成ツールなどで、パッと簡単には覚えられないであろう英数字を発行しては送信するという手間を掛けているのに、結果セキュリティレベルを担保するための暗号化ではない、と言われる始末…。
しかし、昨今はハッキングツールでもない一般的なパソコンとツールがあれば、パスワードの解析に1日もかからないのです。
英大文字＋英小文字＋数字（全62種類）による8桁の解析で15時間、英小文字（全26種類）のみの場合は、52秒だそうです。怖い世の中ですね…。
そう考えると銀行のカードの暗証番号数字4桁やスマートフォン解除の数字6桁のセキュリティの脆弱性も気になるところですが…そちらはまたの機会に。

ZIPファイルとパスワードが同じ経路

前述したとおり、PPAP運用はパスワード付きZIPファイルを送信後、また同じメール経路を利用してパスワードを送付するため、セキュリティ的にははほぼ意味をなしていないことになります。
最近ネット決済や銀行のアプリなどで二段階認証やワンタイムパスワードといった、電話番号を使用したりスマートフォンを利用した本人確認が行われることが増えてきました。
これらは、文字列（パスワード）を知っていれば誰でもロックを解除できる脆弱なパスワード認証と異なり、特定の相手（本人）の認証が確実に行われるため、セキュリティレベルが非常に高くなります。

ZIPファイルを開くことで感染するマルウェアがある

最近社内インフラ担当者はよく聞く名前かと思うのですが、「Emotet（エモテット）」と呼ばれるマルウェアの感染が増えてきています。
このマルウェアは、実際にやりとりした実在するメールアドレス・氏名・メール本文を引用することであたかもやりとりの一環として送られてきたZIPファイルであるかのように偽装する巧妙な手口のため、騙されてしまい開封をしてしまうケースが多いようです。 自身では気づかない内に感染し、そのマルウェアが付着したZIPファイルを送付してしまうことにより、さらに感染を増やす加害者になってしまう可能性も否定できません。

ZIPファイルを安全に送る方法は

PPAP運用のセキュリティリスクや脆弱性は、前述した通りですが、その影響を踏まえたうえでどのように対策すればセキュリティレベルを担保できるのか解説していきます。

メールの通信経路を署名・暗号化する

前提として、メールの送信者/受信者共にS/MIME（Secure / Multipurpose Internet Mail Extensions）に対応したメールソフトを使っていることが条件になります。（近年はOutlookやiOSのメールソフトも対応しています。）
S/MIMEとは、電子メールの暗号化方式のひとつで、電子証明書を利用してメールを暗号化し電子署名を行うことで認証することができます。
と、ご紹介してみたものの、私はよく理解できませんでした…こちらは専門的な知識が必要になりそうなので、会社単位でインフラ担当者の方などにご検討いただければと思います。

クラウドストレージを利用する

そもそもメールでのやりとりの中だけでデータを共有するのではなく、クラウドストレージ（インターネット上のファイル共有機能）を利用するのも有効です。
ネットアシストでも、2021年3月よりご契約者様限定となりますが、お客様ポータル上でアクセス権限が設定された上で安全にファイルの送受信が可能となりました。
セキュリティレベルで考えるとこのファイル共有システムの導入が1番安心です。
弊社保守をご利用のお客さまにもぜひともご活用いただきたいと思っております。

まとめ

この度この記事を書くきっかけは、実は弊社でもこのPPAPによるセキュリティリスクを撲滅するために、お客様ポータルサイトにて「ファイル共有」機能をリリースしたからなのですが、記事を書くために調べれば調べるほどPPAPの脆弱性やリスクの高さに愕然としました。何かが起こるまでは放置しがちな部分ではありますが、顧客のセキュリティリスクを少しでも軽減させるために、ご自身の会社の大切なデータを守るためにもぜひPPAP運用を見直してみてはいかがでしょうか。