暗号化zipファイルは解読が容易と認識せよ　情報漏洩対策に必要なのは“重要な添付ファイル”の精査だ

EVENT

2021年02月25日に開催

インターネットでのセキュリティ分野で話題の、電子メールのパスワード付きZIP添付書類（PPAP）問題について語る「パスワード付きzip添付メール問題を考える」。ここで、株式会社クオリティアの平野氏、株式会社オプテージの森崎氏、Vade Secure株式会社の関根氏、国立情報学研究所の北川氏が、「ここが変だよPPAP」をテーマにPPAPの現状と問題点について話します。最後にウイルスチェックとPPAP以外の運用方法について。前回の記事はこちらから。

スピーカー

平野善隆

株式会社クオリティア CS企画本部チーフエンジニア

ゲートウェイのウイルスフィルターが効かないのは問題？

平野善隆氏（以下、平野）：ゲートウェイのウイルスフィルターが効かない話が、先ほどからポツポツと出てきましたが、それが「問題である」が54パーセントでかなり多いです。「問題があると思うけど仕方ない」まで合わせると、4分の3ぐらいの人がメールの添付ファイルをゲートウェイでウイルスフィルターにかけられないのは問題だと感じているようです。

その一方で、Webダウンロードやクラウドストレージの検討をしている方も多いです。この場合、Webのプロキシを置いて、そこでウイルスチェックをしているという会社もあると思いますが、それほど多くないと考えると、エンドポイントだけのウイルスチェックに結局なるんじゃないかなと。

下になりますが、S/MIMEやPGPのエンドtoエンドをやりたいとなると、結局ゲートウェイでのウイルスチェックはできないんじゃないの、とか。ちょっといろいろ矛盾するところがあるなと思ったりする。この辺、北川先生はどう考えますか？

北川直哉氏（以下、北川）：次のウイルスチェックの話で、アンケートでもらった後ろのほうの話が出ているので、そこで話そうかと思います。

平野：わかりました。じゃあ「このあたり変だな」と置いたところで、アンケートの自由記述欄を北川先生のほうで見ていきましょう。

PPAPは何が問題か？に対するアンケートの意見

北川：前のセッションと、このセッションの今までの部分でパイチャートになっている、アンケート結果がありましたが、その合間に自由記述でコメントが書ける欄があり、そこにたくさん書いてもらったので、いくつか抜粋しています。

最初の「PPAPは何が問題だと思いますか？」という質問について、たくさん意見をもらいました。やはりいくつかの意見に集中していて、例えば「メールが盗聴されていた場合は、そもそも意味ありませんよね」と。

「その暗号化したzipファイルと、そのパスワードが別のメールであっても、結局同じメールアカウントに対して送っているわけなので意味がない」というのが、かなり多かったです。

あとは、同じ宛先に自動でパスワードを送っていたら、誤送信防止にもならないよね。セッションの冒頭でも「PPAPのおかげで誤送信防止になりました」という人がけっこういたのは興味深かったですが、自動でやってしまうサービスはけっこう多いですよね。「自動で送っていたら、そもそも誤送信防止にもならない」という人も多くいました。

これも先ほどから何回か出てきている話で、「暗号化zipファイルはウイルスチェックができないから困る」というのは、ずっとこのセッションでも出ていますね。あとは4つ目で、「暗号化の添付ファイルの送信が日常化すると、かえって悪意のあるファイルを送りやすくなる」と。

3つ目の「ウイルスチェックができません」とつながる話だと思います。「しかしそれを逆手に取って、悪意のある人がマルウェアやウイルスをメール添付して送るときに、メールフィルターにかからないようにするためにアンチウイルスに見られないようにするのが不信に思われなくなると捉えられちゃうんじゃないか」と危惧している方もいました。

あとは「暗号化zipファイルは解読が容易なため、そもそも暗号化が無意味じゃないか」と。少し前に森崎さんが紹介していた、解読は意外と常識的な時間で行える可能性がある話につながっているかと思います。

あとは二度手間で生産性を低下させているだけなのは、確かにそうですよね。わざわざその次のメールを参照して手動で開けなきゃいけないので、そもそもやる必要があるファイルなのかどうかを考えたほうがいいところに来ているのかと思います。

「そもそも本当にパスワードが必要か？」を精査する必要がある

セキュリティ的にPPAPが問題となっていますが、そもそも本当にパスワードをかけなきゃいけなかった情報なのかを精査しなきゃいけないと思うし、もしそれでパスワードをかけて送らなきゃいけないとなったら「それじゃあメールで送ってもよかったんですか？」と。PPAPに限らずオンラインストレージもそうで、会社の規約によってもぜんぜん違うと思いますが、そもそもオンラインに置いていい情報なのかどうか。

あとはその情報の扱い方ややり取りの仕方をどうすればいいのかもう1回原点に返って。これはけっこう立場によっても違うし、扱っている情報によっても違うし、会社や部署によってもポリシーが違うので、「こうしたらいいです」というベストプラクティスがあるものではないと思います。これはけっこう深い問題で、組織ごとに議論をする段階にきているかと思います。

平野：「重要な添付ファイルって何なのよ」というところですよね。

北川：そうです。けっこう怖い情報をみなさん正直に書いていますね（笑）。人事や顧客、お客さんやお金関係。契約・注文情報とか、社外の人に見られて困ってしまうもの。あとは社内で情報の機密性のグレードがあると思いますが、それで機密が触れているものとか、印鑑が押してある発注書とか。

あとは個人情報が入っているとか、図面とかも、ものによってはけっこう怖いですよね。あとはパスワードが入っているとか。けっこうヤバそうなファイルをPPAPでやり取りされているのを、正直に書いてもらいました。

PPAPを止めた場合の運用

じゃあPPAPを止めるんだったら、どう運用していますか？する予定ですか？　という検討段階を含めた質問です。暗号化ファイルの添付があった場合は、メール自体の受信を拒否してしまいましょう。ポリシーとしても受け取らないとしてしまう対応です。あとはクラウドストレージでファイルの受け渡しを行う。これがたぶん一番多かったです。

あとはファイル転送サービスを利用しましょうとか、パスワードだけ違う手段ですね。電話とかSlackとかチャットとかでもいいと思いますが、違う経路でパスワードを通知する。あとは困っている点として、自分の組織でPPAPで送るのは廃止しよう。上の4つに限らず、なんらかの方式でそれを止めるにしても、他の会社とか他の部署では違うポリシーで、そこからはいつものようにPPAPが来てしまう。

結局それに受け側としては対応しなきゃいけないとか、その会社に送るときはその方式で送らないといけないというのがあって、縛られてしまって脱却できないという意見もありました。

平野：なるほど。1つ質問が来ているみたいですね。「ちゃんとした暗号化、例えばAES256とかを使えばPPAPでも特にセキュリティ上問題はないという認識なのですが？」。PPAPがパスワード同一経路で送っているからという文脈で考えると、パスワードも盗めちゃうので。

北川：それはそうですね。PPAPに閉じている話だとすると、例えば楕円暗号で解析が難しい方式でやっていても結局書いているので、どんな暗号方式でも変わりません。

平野：そういうことですね。zipのデフォルトのパスワードzip、いわゆるパスワードzipの方式よりは、zipでもAES256を使えば暗号強度は高いです。zipのファイルとしては安全です。でも送り方がPPAPなのであれば意味がない。そういうことですね？

北川：そうですね。