プレスリリース
添付ファイルのZip暗号化(PPAP)への対処について
2020.12.23
<報道関係各位>
<プレスリリース>
添付ファイルのZip暗号化(PPAP)への対処について
以前より、添付ファイルのZip暗号化(PPAP)はセキュリティ上あまり効果がないと言われてきましたが、11月17日に平井デジタル改革担当大臣が11月26日より霞が関での利用を廃止すると会見で明らかにしたことにより、一層注目されることとなりました。会見後に当社にも多くのお問い合わせをいただいており、以下に当社の見解を示させていただきます。
Zip暗号化の何が問題なのか?
ではZip暗号化の何が問題なのでしょうか。元々は受信者側のメールストア容量の圧迫を回避するために添付ファイルを圧縮し送信する手法がエチケットとして定着していました。その後、インターネットの経路上を行き交う通信の中でHTTPは早くから暗号化されていましたが、SMTPというメールを配送するプロトコルの暗号化は進んできませんでした。そこでZip圧縮に加えてパスワードも設定する暗号化手法に注目が集まり、2012年には、ISMSやPマークを取得するうえで添付ファイルのパスワードによる暗号化が効果的であるという見解が示されたことから、このZip暗号化技術が広く一般的になっていきました。
にもかかわらず、Zip暗号化の何が問題だと指摘されているのでしょうか。
当社はその問題点を以下の2点だと考えます。
1. 暗号化した添付ファイルとパスワードを同一経路で送信している
暗号化したファイルをメールに添付して送り、同一経路で後追いパスワードを受信者に伝えることは、その経路上を第三者に盗聴されていたとしたら添付ファイルにパスワードを掛けていたとしてもパスワードまで傍受されるため暗号化の意味がありません。
2. ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない
猛威を振るうEmotet(エモテット)、新たに報告されているIcedID(アイスド アイディー)などのマルウェア(ウイルス)は、ファイルを暗号化しメール添付で送られてくるため、一般のセキュリティソフトでは検出が困難で、ウイルスチェックやサンドボックスチェックをすり抜けてしまいます。
考えられる代替手段
Zip暗号化の代替手段としては様々な方法が提案されています。しかしながら、受信者側のセキュリティ性を担保しつつ同時に送信者の利便性も維持することを念頭に置くと、どの手段も現状では完全な解決策と言えるものではなく、懸念される点もありますので同時に記述します。
1. STARTTLS、MTA-STS(TLS1.2以上)、DANEなどのメールサーバー間のセキュリティ対策を利用する
→送信者と受信者のEnd to Endの暗号化ではなく、また誤送信防止にはならない
→メールクラウドサービスを利用している場合、通信経路の暗号化はクラウド事業者の対応可否に依存し、自分の意志で暗号化の有無を決めることができない
2. クラウドストレージを利用する
→URLとパスワードを同一経路で送るとZip暗号化と同じことになってしまう
→過去のメールから検索し、当時送付されてきたファイルを確認しようとしてもメールとファイルが分かれているため、どのファイルが見つけたいものなのか分からない
3. S/MIME、PGPなどの電子署名と暗号化の仕組みを利用する
→証明書や鍵の管理が容易ではなく、またゲートウェイでのウイルスチェックができない
→利用可能なメールクライアントが限定され、送受信を行うには相手にも高度なナレッジを求めることになる
4. チャットやSNSなどを利用する
→送信者、受信者ともに同一のアプリケーションを使用している必要があり汎用性が低い
当社製品・サービスでの対処について
当社製品・サービスをご利用中のお客様、またご利用を検討中のお客様にはZip暗号化の代替手段として以下の対処方法を推奨します。
1. 「添付ファイルWebダウンロード機能」のご利用を推奨
当社のメール誤送信防止製品・サービスのActive! gate、Active! gate SSには「添付ファイルWebダウン ロード機能」が標準で搭載されていますので、そちらのご利用を推奨します。「添付ファイルWebダウンロード機能」は、メール送信時に本文と添付ファイルを自動的に分離し、添付ファイルはメール本文に記載されたURLのWebサーバー上からパスワードを利用してダウンロードしていただく機能です。Webサーバー上に分離されているファイルをユーザーは削除、またはダウンロードロックすることもでき、メールの一時保留機能と組み合わせることで誤送信対策レベルの維持・向上を実現します。ファイルのダウンロード期限を設ける、受信者のファイルダウンロードを確認したら サーバー上のファイルを削除するなどの運用をしていただければ、より安全にご利用いただくことが可能です。
2. 「パスワードをヒントで伝える」
Active! gate、Active! gate SSには「添付ファイルの暗号化機能」と「添付ファイルWebダウンロード機能」が標準で搭載されていますが、いずれも受信者側がファイルを取得するためのパスワードを設定することになります。そのパスワードの通知方法にはいくつか設定がある中で当社は「パスワードをヒントで伝える」設定を推奨します。前述した理由によりメール送信経路が盗聴されているのであれば同一経路で暗号化されたファイルとパスワードを送っても、金庫と金庫のカギを取得されてしまえば中身は盗まれたも同然です。したがって、「以前お伝えした12桁のパスワードです」などの送信者と受信者しかわからない文字列をパスワードに設定し、そのヒントだけを相手に伝えるという手段があります。特にActive! gate、Active! gate SSにはパスワードの通知方法を「ヒントで教える」に強制させる管理者設定もあり、ユーザーはパスワードを手動で設定した後ヒントでしか通知できないようにする運用を実現可能です。それ以外には、別経路で送信するなどの対処をしてご利用いただきますようお願いします。
3. Zip暗号化ファイルの検知について
前述したようにインターネットを行き交うメールはまだまだすべての経路が暗号化されているわけではなく、平文の状態で送受信されるケースが多く見受けられます。したがって、インターネットに接続しているすべてのメールサーバーが送受信ともにSTARTTLSなどの暗号化通信に対応する日が来るまでは盗聴防止という観点ではZip暗号化という手段はセキュリティ的に有効であると当社は考えます。一方で受信者の側からするとEmotet、IcedIDなどに見られる悪意あるZip暗号化ファイルの検疫は入り口対策として実現しなければなりません。そのようなお考えのお客様には、当社の標的型メール攻撃対策製品「Active! zone × サンドボックス」のご利用を推奨します。「Active! zone × サンドボックス」をご利用いただくことで、パスワード付きZipファイルの中身まで検知できるようになりますので、一般的なセキュリティ製品では対処が困難なEmotetやIcedIDにも効果を発揮します。
実際に「Active! zone × サンドボックス」を導入いただいているお客様から9月中旬に提供いただいたEmotetの検知・ブロックの実例を公開していますのでご参照ください。
▽「急増するパスワード付きZipによるEmotetの攻撃メールを『Active! zone × サンドボックス』で検知・ブロック 〜当社ユーザー様に着弾した攻撃メールと対処について〜」
https://www.qualitia.co.jp/news/2020/10/13_1000.html
当社では、Zip暗号化の代替手段として、またEmotet、IcedIDへの対策として、製品・サービスを多くのお客様にご利用いただけるようにさらなる機能拡張に努めてまいります。また、お客様により安全な運用方法などを啓蒙していきたいと考えています。
製品・サービスURL
クオリティアについて
株式会社クオリティアは、国内で開発・販売を行っているメッセージングソリューションカンパニーです。メールやメールセキュリティを中心とした事業展開を行なっており、主力製品であるWebメール「Active! mail」や大規模メールシステム「DEEPMail」などを通じて、企業、官公庁、国内主要大学でのコミュニケーション効率化やIT人材の育成に貢献しています。また、Microsoft 365やGoogle Workspaceと連携するクラウド型メール誤送信防止サービス「Active! gate SS」、クラウド型メールアーカイブサービス「Active! vault SS」などを通し、セキュリティ環境に優れたメールシステムの構築を支援しています。近年では、標的型メール攻撃対策ソ リューション「Active! zone」が400を超える地方自治体に採用され、現在ではサンドボックスを備えるなどより機能強化しエンタープライズにも導入が進んでいます。さらに2020年秋には、セキュリティを担保しながら業務の利便性を向上させる新しいビジネスツールとして、メール・Web会議・チャットをシームレスにつなぐ新しいコミュニケーションプラットフォーム「QUALITIA CLOUD」をリリースし、変化する働き方に対応したサービスを提供しています。
参考リンク:
https://www.qualitia.co.jp/
製品・サービスに関するお問合せ先
株式会社クオリティア
営業本部 フィールドセールス部
email: active@qualitia.co.jp
phone: 03-5623-2530
URL:
htpps://www.qualitia.co.jp
報道関係者のお問い合わせ先
株式会社クオリティア
営業本部 マーケティング部 稲垣
email: press_pr@qualitia.co.jp
phone: 03-5623-2532