パスワード付きzipファイルをメールで送るのはもうダメ!?危険性を徹底解説!

2020年、新たに「デジタル改革担当大臣」が設定され、「内閣官房で従来のパスワード付きzipファイルを送る行為(PPAP)を廃止」する方針を発表しました。これに倣い、大企業ではPPAP方式のファイル送信を禁止する企業も出てきています。

なぜ「PPAP」を廃止するのか、その危険性、今からできる対策などを詳しく解説していきます。

目次

「PPAP」とは?メール添付の危険性を順を追って解説

機密情報が含まれるファイルを取引相手に送りたい時、もっとも単純な方法は「メールに機密情報のファイルを添付して送る」です。
この場合、何が問題でしょうか?

メールにそのまま添付する図
<危険性1>送り先の間違い

送信者は人間ですので、どうしても間違いは起きるものです。もし送り先を間違えて別の人に送った場合、機密情報の漏洩になります。

<危険性2>悪意のある第三者による「盗聴」

悪意のある第三者による「メールの盗聴」により、メール本文や添付ファイルが盗まれることがあります。
現在はメールの通信を暗号化することが一般化したので盗聴のリスクは低くなりましたが、メールサーバーの設定を古くから変えずに使い続けている場合や、街中で信頼性の低いフリーWi-Fiを使用する場合はその限りではありません。高度なコンピューターを使用すると暗号化を突破される恐れもあります。


これらの危険性は、メールを使う以上、完全に防ぐことは困難です。そこで、万が一添付ファイルが悪意のある第三者に漏洩しても中身を見られなくするためにファイルを暗号化して送り(パスワード付きzipファイル)、解読用のパスワードを別メールで連絡する方法が広まりました。

パスワード付きzipで送る図

仮に添付ファイルが悪意のある第三者の手に渡ったとしても、解読用のパスワードがなければ添付ファイルは開けず、機密情報は漏洩しません。

これがいわゆる「PPAP」です。

「P」assword付きzip暗号化ファイルを送ります
「P」asswordを送ります
「A」ん号化(暗号化)します
「P」rotocol(プロトコル=手順)

しかし、これでもまだ危険性は残ります。

実は「PPAP」は意味がなかった?

添付ファイルを暗号化していれば、第三者はパスワードがなければ開くことができません。
しかし、そのパスワードの扱いにも危険性は潜んでいます。

<危険性3>パスワードを記載したメールの盗聴

暗号化ファイルをメールで送った後、解読用パスワードを連絡するメールを直後に送ります。同じ送信元・送信先でほぼ同じ時間に送られることが多いので、最初のメールを誤送信した場合、次に送るパスワードも誤送信する可能性が高いです。
また盗聴においても、最初のメールが盗聴された場合、次に送られるメールも盗聴される可能性が高いです。
暗号化したファイルと複合するパスワードがセットで漏洩した場合、暗号化が解除されファイルが開かれてしまいます。

<危険性4>パスワードの解析

たとえパスワードのメールが入手されなかったとしても、パスワードの文字数が少ない場合は解析ツールで簡単に特定されてしまいます。
本記事執筆時(2021年6月時点)でも数字8桁であれば数分程度、アルファベットとの組み合わせであっても数日あれば解析されてしまいます。

<危険性5>暗号化したファイル自体の解析

最近はスーパーコンピューター、量子コンピューターなど、大規模な処理を高速で行うための研究が進んでいます。もし低い暗号化強度を使用した場合、パスワードがなくても簡単に解析されてしまいます。


PPAPを使った場合でも上記の危険性があり、ファイルを守ることに対する意味がないという見解が広まっています。
もう一方で、受信する側として気を付けなければいけないのが、ウイルス感染です。

受信側は暗号化された添付ファイルにウイルスが入っていたら防げない

送る側が意図せずウイルス付きのファイルをパスワード付きzipファイルにしてメールで送ってしまったら、
あるいは、悪意のある第三者が業務メールを騙(かた)ってウイルス付きのファイルをパスワード付きzipファイルにして送ったら、
メールを受けた人は、感染を防ぐことができるでしょうか。

ウイルス対策製品だけでは完全ではない

「ウイルス対策製品を導入しているから大丈夫」と思っている方、実はパスワード付き暗号化ファイルはウイルス対策製品ではチェックができません。通常のzipファイルであればウイルスチェック時に中を見ることができますが、パスワードで守られている場合ファイルを開けられず、中にウイルスがあるかチェックすることができないのです。
さらにウイルス対策製品で防ぐことができるのは既知のウイルスと言われるもので、ウイルスの解析がされ識別方法が確立(パターン化)されたものです。最近ではウイルスの開発が盛んにおこなわれ、パターン化されていない未知のウイルスによる攻撃が増えており、ウイルス対策製品だけで完全に防ぐことは難しくなっています。

ウイルスを見つけられず感染する図
巧妙化し続ける攻撃方法

また、業務メールを装った悪意あるメールは標的型攻撃と呼ばれ、年々巧妙化しています。
送信元・送信先を巧妙に偽装し、件名や本文も実際の業務で使われるような内容で送られます。通常の業務メールと見分けがつきにくいので完全に防ぐことはほぼ不可能と言われています。
IPA(独立行政法人情報処理推進機構)が毎年公開する「情報セキュリティ10大脅威」では、標的型攻撃は2016年から常に1位、2021年に2位と、常に社会的な影響が大きい脅威として位置づけられています。
(参考 https://www.ipa.go.jp/security/vuln/index.html(外部サイト))

標的型攻撃メールを送られる図
ウイルスに感染した場合どうなるか

もしウイルスに感染した場合、パソコン内やファイルサーバーにあるデータの削除や改ざん、搾取などが一般的ですが、最近はファイルを暗号化し、アクセス回復のための身代金を要求するタイプや、その環境に新たなウイルス感染経路を構築するタイプもあります。


このように、メールに添付されたパスワード付きzipファイルを開くことはとてもリスクがある行動ということがわかります。

米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)では、2020年には暗号化されたzipファイルが添付されたメールはブロックすることをベストプラクティスとして発表しています。

これらの危険性から、PPAPは推奨されず(※)禁止する動きが出てきています。

※プライバシーマーク制度を運営しているJIPDECによる見識(2020年11月18日に公開)
 メール添付のファイル送信について https://privacymark.jp/news/system/2020/1118.html(外部サイト)

今できる対策とは?

これらのリスクを低減させるにはどうしたらよいでしょうか?
今できる対策として、以下の方法が挙げられます。

強い暗号化を施し、パスワードは別ルートで通知する

重要なファイルをどうしてもメールで送る場合は極力高い強度の暗号化を使用し、パスワードは電話やチャットツールなどの別の媒体を使用することでリスクを減らすことができます。

クラウドサービスを使う

安全なファイル送信としてよく使われているのが、ファイル転送サービスです。
メールに添付できない大容量のファイルを送れる利便性もあり、古くは20年前(1999~2000年頃)から広く利用されているサービスです。
クラウドサービスは、個人向けの無料のサービスとスペックに優れる有料のサービス、さらに法人向けのサービスがあります。

最近では個人向けのサービスはシャドーITと言われ、企業では禁止されているケースが多くなっています。個人向けのサービスでは機能が少なく、社員の誰かがふさわしくない相手にこっそり機密情報を送るような内部犯行は防ぐことも見つけることもできません。安心してファイル送信を行うには、誰が送ったのか、何を送ったのか、を正確に記録し、許可する送信相手をあらかじめ制限するなどのセキュリティ機能がある法人向けサービスを使用し、会社がある程度管理した中でファイルを送受信させる必要があります。

また法人向けサービスの中には取引相手に一時的にアカウントを発行してそのサービスを利用してもらう機能があります。取引相手がファイルを送る際にこの機能を使ってもらえば、アカウントを発行したその人から安全にファイルを送ってもらうことができます。

6240_takufile_column_onetimeid_1.png
※オフィス宅ふぁいる便の一時利用者機能の例

ファイルを送る場合、受け取る場合、どちらも安心して行える法人向けサービスを利用することで、リスクを低減できます。

オフィス宅ふぁいる便の特徴

オフィス宅ふぁいる便は、Daigasグループ会社が運用する、企業のファイルのやりとりに特化した法人向けファイル転送サービスです。

送信間違いを防ぐ仕組みが充実
・送信前確認画面
送信内容を確認する画面で、宛先・ファイル名・コメント内容を確認し、チェックを入れないと送信できない仕組みになっています。

・アドレス帳機能
送信する相手を登録しておくことでアドレスの入力ミスなどの誤送信を防ぎます。

・上司承認機能
送信する内容を第三者がチェックを行うことで誤送信を防ぎます。

通信・データはすべて暗号化
通信内容や預かったファイルはすべて暗号化されるので安心です。

2種類の一時ユーザー発行機能
ファイルを送ってもらいたい相手を「一時ユーザー」に設定することで、オフィス宅ふぁいる便を一時的に使ってもらうことができます。
信頼する相手に信頼できるルートで確実にファイルを送ってもらうことができます。
一時ユーザーは「1回きり有効なユーザー」と、「一定期間有効なユーザー」の2種類あり、業務内容によって使い分けいただけます。

充実の管理機能
オフィス宅ふぁいる便は充実した管理機能があります。
ユーザーの管理(作成・削除・ロックなど)、ファイル送信の上限設定やファイルの預かり期間の設定、送信相手の許可設定、一時ユーザーの有効期間の設定など、機能に関する設定ができるほか、いつ誰から誰に何のファイルを送ったかというログを参照することができます。

導入コストが安い!
最小構成では、5ユーザーまで月額3,000円から利用可能です。
最大2ヶ月間の無料期間で実際の環境を試していただくことができます。課金が開始される前までに解約すれば、料金が発生することはありません。

申し込みはWeb(クレジットカード払い)と申込書(請求書払い)の2パターンあります。
※Webのお申し込みは振込手数料が発生しませんのでおすすめです。



コロナ禍によりリモートワークが急速に浸透しつつある中、インターネット上のやりとりが重要性を増しています。大切なファイルを安心して送受信できるよう、まずは安価に対策を始めてはいかがでしょうか。


オフィス宅ふぁいる便の3つの特長

オフィス宅ふぁいる便は、セキュアに、手軽に大容量のファイルを送付できる「ファイル転送・送付サービス」です。主に法人利用向けに開発されており、5ユーザーから利用することができます。その最大の特徴は下記の3つです。

  • 安全性の強化・改善
    安全性の強化・改善
    オージス総研は、情報セキュリティマネジメントシステム適合性評価制度(ISMS)認証を取得。さらに、オフィス宅ふぁいる便はISMSクラウドセキュリティ認証の認証登録を受けています。
  • PPAPの対策
    社内不正対策の強化
    (PPAP対策の強化も可能)
    PPAPでのファイル送付、ツールの不正利用など、御社のファイル受け渡しルールに違反しているユーザーを見つけることができます。
  • 大容量・大人数も対応!直感操作で低コスト
    大容量・大人数も対応!
    直感操作で低コスト
    オフィス宅ふぁいる便は、最大10GBまでの大容量ファイル転送が可能。直感操作ですぐに利用開始できます。さらに100名以上などの大人数利用にも対応し、低コストで導入できます。

2021年6月10日

※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。

関連サービス

  • オフィス宅ふぁいる便

    オフィス宅ふぁいる便は、安心・安全・簡単に10GBまでのファイル送受信が可能なサービスです