パスワード付きzipファイルが話題になっています。文書ファイルなどを送る際、パスワード付きzipファイルをメールで送信して、あとからパスワードをメールで送信する方法が普通に使われています。その手順でファイルを送った、その手順でファイルを受信したという経験がある方も多いと思います。それが「PPAP」と略され、セキュリティ面で問題視されているのです。本稿では、このPPAP問題について解説します。
PPAPとは
「文書ファイルなどを送る際、パスワード付きzipファイルをメールで送信して、あとからパスワードをメールで送信する手順(プロトコル)」がPPAPです。
Password付きZIP暗号化ファイルを送ります
Passwordを送ります
Aん号化(暗号化)
Protocol(手順)
2016年当時流行したヒット曲の造語と言われています。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
パスワード付きzipファイルの問題
このPPAPですが、何が問題なのでしょうか?パスワード付きzipファイルは、いくつかのセキュリティ上の問題が指摘されていますので、それぞれ見ていきましょう。
マルウェア対策機能による検査が回避される
ウイルス対策ソフトなどのマルウェア対策製品は、通常のzipファイルであれば、ファイルを解凍してから検査します。しかし、パスワード付きのzipファイルの場合、ファイルを解凍することができずに検査をスキップする可能性があります。受信側にとっては、メールシステムやゲートウェイ上で検査を行えないという問題があります。
現に「Emotet」の被害が後を絶たず、その手口も巧妙になっています。文書ファイルを「パスワード付きzipファイル」にして、且つパスワードを記載した偽装メールを送ることで、マルウェアに感染させようとするのです。普段からPPAPに慣れていると、つい解凍してしまうということもあるでしょう。クライアントPCのウイルス対策ソフトによっては、解凍後のファイルから検出・防御できる可能性がありますが、前述のとおり、受信側のメールシステムやゲートウェイ上での検査は回避されてしまう恐れがあります。
「暗号化」によるデータの保護は、「検査」という点での考慮も必要です。本稿の内容とは異なりますが、SSLにおいても「暗号化」「検査」について適切な設計が求められています。
参考記事:常時SSL時代のセキュリティ
ファイルとパスワードを送る経路の問題(同一経路)
PPAPは、パスワード付きのzipファイルとパスワードをメールという同じ手段で送ります。つまり同一経路です。zipファイルが攻撃者によって窃取されるとしたら、同じようにパスワードも窃取されてしまう可能性があります。通信経路上での盗聴に対する効果がなく、以前から指摘されていた問題です。
国内でも非推奨の動き
PPAPが話題になったきっかけとして、2020年11月に中央省庁が「ZIP暗号化ファイル」を廃止する方針を明らかにしたということがあります。また、プライバシーマーク制度を運用している「JIPDEC(ジプデック):日本情報経済社会推進協会」もPPAPを推奨していません。PPAPが常態化している状況のため、難しい問題ではありますが、今後は企業や団体において「脱PPAP」の動きが進むと考えられます。
PPAPの対策
ここからは、PPAPの代替となる対策について解説します。運用による回避とシステムによる対応とで見ていきましょう。
ファイルとパスワードを別経路で送る
前述のとおり、PPAPには送信するファイルとパスワードが同一経路であるという問題がありました。これを回避するために、文書の通知や電話といった別の手段でパスワードを伝えるようにします。Slackなどのチャットツールを利用した方法も考えられます。運用による回避のため、一手間かかることと、別経路の必要性を従業員教育により説明する必要はありますが、通信経路上での盗聴に対するリスクを抑えることができます。
ファイルストレージを利用する
新たにシステムを導入したり、サービスを契約する場合の費用がかかりますが、クラウドのファイルストレージで共有するという方法があります。メールによるファイル共有をやめて、クラウドサービス上のファイルストレージで共有する方法に変更するのです。アクセス権や期限、ダウンロード回数などを設定できるサービスもありますので、設定次第では、より安全且つ有効な対策になると考えられます。
おわりに
いかがでしょうか。本稿では、話題のパスワード付きzipファイル、PPAPの問題について説明しました。PPAPは、国内では普通でしたが、海外で使われることは少なく、国内の問題と捉えても過言ではないかもしれません。慣れ親しんでいる方法のため、課題は多いと思われますが、今後は「脱PPAP」が常識となり、代替えのためのサービスなども増えてくると考えられます。
ご利用の環境や運用方法に合った対策、見直しのきっかけになれば幸いです。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
