NTTコミュニケーションズ

Bizコンパス

暗号化ZIPをメールで添付する方式の何が問題か?
2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

著者 北河 拓士

 これまで多くの組織で使われてきた、暗号化ZIPをメールに添付してファイルをやり取りする運用を見直す動きが広まっています。

 平井卓也デジタル改革担当大臣が2020年11月17日の記者会見において、暗号化ZIPと同じ経路でパスワードを自動で送る方式について、内閣府・内閣官房で廃止する方向で検討していることを発表し、実際に2020年11月26日から内閣府・内閣官房で廃止することが発表されました。他省庁についても、実態調査を進めており、廃止することを促すとしています。

また、クラウド会計ソフトを提供するFreeeが2020年12月1日からメールによるパスワード付きファイルの受信を廃止すると発表するなど、民間企業においてもその動きは広まっています。

 今回は、暗号化ZIPをメールで添付する方式の何が問題か、また、代替手段としてどのようなものがあるかなどについて考えてみたいと思います。

暗号化ZIPをメールで添付する方式が使われる理由

 企業間でファイルをやり取りするときに、パスワードを付けて暗号化したZIPファイルをメールに添付し、パスワードを別のメールで送付する方式はこれまで多くの組織で使われてきたと思います。

この方式には、これまで

・「情報漏えい対策」
・「誤送信対策」

の2つの目的があるとされてきました。

 まず、「情報漏えい対策」についてです。メールを盗み見られる方法としては、通信経路での盗聴や、メールサーバーのアカウント侵害、端末側への侵入などが考えられます。しかし、いずれの場合でも、暗号化ZIPが添付されたメールを見ることができるならば、パスワードが書かれた別のメールも同様に見ることができる可能性が高く、情報漏えい対策としてはあまり意味のないことだと言えます。

 次に、「誤送信対策」についてです。添付ファイルを誤送信してしまった場合でも、パスワードを送信する前に気づけばファイルを見られることを防げるため「誤送信対策」になるとされています。しかし添付ファイルを自動的に暗号化し、パスワードを別のメールで送信する自動化システムを利用している場合は、パスワードも間違った相手に送信されるため誤送信対策にはなりません。内閣府・内閣官房が採用していたのもこの自動化のシステムだったようです。また、手動で送信する場合でも、添付ファイルを送信したメールに返信する形でパスワードを送信していることが多く、その場合はパスワードも同じ誤った相手に送信されてしまいます。よって、「誤送信対策」としての効果も限定的であると言えます。

プライバシーマークなどの認証を取得するために必要とする説

 暗号化ZIPのパスワードを別送する方式が使い続けられている理由として、プライバシーマークなどの認証を取得するために必要だからだと言われることもありました。しかし、プライバシーマーク制度を運営する団体のJIPDECが2020年11月18日にこのような方法は従来から推奨していないとの見解を発表し、プライバシーマークなどの認証を取得するために必要という説は否定されました。

暗号化ZIPをメールで送信する方式の弊害

 このようにあまり有効性がないにも関わらず、対策をしているという安心感を得られることもあって、なんとなく続けられて来た暗号化ZIPのパスワードを別送する方式ですが、それが逆にセキュリティを低下させることも指摘されてきました。

 多くの組織ではメールサーバーやメールゲートウェイでウイルス対策ソフトやサンドボックス(隔離された環境でファイルを実行して不正な動作をしないかを検査する技術)によるマルウェアの検査が行われていると思います。しかし暗号化ZIPでは中に含まれるファイルのマルウェア検査ができません。

 マルウェアが暗号化ZIPにより検査を回避する手口は以前から使われてきましたが、2020年後半に「Emotet」や「IcedID」といったマルウェアがこの手口を使って大規模に拡散されるようになり、被害が広がりました。 そのため、米国国土安全保障省(DHS)のCISA(Cybersecurity & Infrastructure Security Agency)が発行したEmotetのアラートでは「ウイルス対策ソフトウェアでスキャンできない電子メールの添付ファイル(.zipファイルなど)をブロックする」ことが推奨されています。しかし、メールでの暗号化ZIPの添付が組織間でファイルをやり取りする正規の方法として使われていると、暗号化ZIPをブロックすることができません。

SHARE

関連記事

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは