パスワード付きzipファイルは送らないで！PPAPの危険性と予防策

皆様はメールでファイルを送るとき、どのようにして送っていますか？

“そのままファイルを添付する”という人や、”クラウドやアップローダーにファイルをアプロードして、ダウンロード用のURLを送る”という人、中には”USBメモリやCDを郵送”なんて人も居るかもしれません。

さて、”メールにファイルを添付する”という人の内、添付ファイルを”パスワード付きzipファイル”にしている人もいらっしゃるのではないでしょうか。

｢パスワード付きzipファイルを先に送って、パスワードを書いたメールを後から送ることで、セキュリティ対策をしています！｣なんて人、要注意です。

実はこの方法、セキュリティ上のリスクが高いのです！

今回はパスワード付きzipファイルを使う習慣”PPAP”と、その危険性、そして対策方法についてご紹介いたします。

“PPAP”って何？

皆様は”PPAP”という言葉をご存知ですか？

PPAPとは、「Password付きZIPファイルを送ります、Passwordを送ります、Angoka（暗号化）Protocol（プロトコル）」の略。Youtubeで大流行した、ピコ太郎さんのネタから命名したそうです。

さて、このPPAP。名前から分かる通り、パスワード付きのzipファイルを用いたファイルの送受信のことを指します。具体的なPPAPの手順は下記のとおり。

1. 1.送信者は、ファイルをパスワード付きzipファイルで圧縮＆暗号化して、メールに添付、送信する。
2. 2.続けて、zipファイルのパスワードを別のメールで送信する。
3. 3.受信者は、受け取った1通目の添付ファイルと2通目のパスワードでzipファイルを解凍し、中身を得る。

ファイルにパスワードを掛けていますし、添付ファイルとパスワードを別々のメールに分けていますから、どちらかのメールだけが流出してもファイルの中身は守られる。一見すると、有効なセキュリティ対策のように見えます。

このPPAPは日本では官民問わずとても流行しており、”PPAPを自動化するソフトウェア”なんてものも存在します。

しかし、セキュリティの危険性が潜むことから、2020年11月に内閣府・内閣官房から廃止する方針と発表されたのです。

なぜPPAPは危険なのか？

そもそも意味がない

現代のサイバー犯罪では、不正にメールを盗み見るとき、基本的には送受信される全てのメールを読むことが出来てしまいます。なぜなら、メール1通1通を盗むのではなく、メールアカウント(メールを見るためのIDやパスワード)自体を盗むことが殆どだから。そのため、｢メールを2つに分けているから、片方が盗み見られても大丈夫｣という考えのPPAPは”そもそも意味がありません“。

簡単なパスワードなら、数秒で開けられる

メールの誤送信などでパスワード付きのzipファイルのみが流出することもあるかもしれません。”PPAP”では、｢ファイルが流出しても、パスワードが分からなければ開けられないから大丈夫｣という考えでした。しかし、パソコンの処理能力が向上している現代では、パスワードを総当りで解除してしまうなんて朝飯前なのです。

実際問題、どれくらいの時間でパスワードを解析できるのでしょうか？ JPAAWGの調査^出典によると、『最新のパーツを装備したパソコン^脚注なら、“大文字小文字の英字＋数字＋記号”を用いたパスワードでも、6桁なら34秒、8桁でも85時間で解読できる』とのこと。“小文字の英字で6桁のパスワード”なら、なんと解析にかかる時間は0.01秒。文字通り一瞬で解析できてしまうのです。

パスワード付きのzipファイルはウィルススキャンが出来ない

近年のサイバー攻撃の増加を受け、UTMやメールのウィルスチェックを行う機器、またはソフトウェアを導入している企業様は多いのでは無いでしょうか。しかし、ここに大きな落とし穴があります。PPAPで使われるパスワード付きのzipファイルは、ウィルススキャンが出来ないのです。

考えてみれば単純なことです。パスワード付きのzipファイルは、パスワードを使って解凍しないと中身が見れませんよね。これはUTMやウィルス対策ソフトも同様で、一度ファイルを解凍しなければウィルスチェックを行うことができないのです。

ですから、PPAPが慣習となっている企業では”取引先様のパソコンにウィルスが侵入しており、zipファイルに紛れ込んでいた”場合や、”サイバー攻撃者が取引先になりすまして攻撃プログラムを送ってきた”場合に、侵入を許してしまうのです。

安全にファイルをやり取りするにはどうすれば？

ここまで紹介してきた通り、PPAPはセキュリティが低く、ウィルスチェックも出来ない危険な方法です。では、安全にファイルをやり取りするにはどうすれば良いのでしょうか？

“ファイルの入手を防ぐ“、”ファイルを開けないようにする“、”ウィルス対策を行う“の3つの視点から、対策方法をまとめました。

1.ファイルの入手を防ぐ

メールにファイルを添付して送信すると、メールを開いた人はだれでもファイルを入手できてしまいます。そこで、“メールを盗聴されても、ファイルは入手できない”ようにすることで、第三者によるファイルの窃盗自体を防止できます。

1-1.クラウドストレージを使う

GoogleドライブやOnedrive、boxといったクラウドストレージにファイルをアップロードし、ダウンロードするためのURLを相手に伝える方法です。

こうしたクラウドストレージの強みは、ダウンロードできる相手を限定できるところ。例えばGoogleドライブでは、指定したアカウントのみがファイルをダウンロードできるように設定できます。そのため、ダウンロードURLを盗み見られたとしても、ファイルはダウンロードできないのです。

｢クラウドストレージサービスのアカウントに不正侵入されたら意味がないのでは？｣と考える方も居るでしょう。しかし、こうしたサービスはログインの際に2段階認証を設定できるため、アカウントのIDやパスワードを盗まれたとしても、不正侵入されづらいのです。

また、クラウドストレージならメールのやり取り以外にも、ファイル置き場として使えるのが魅力。｢パソコンの容量が一杯になってきたから、普段使わないファイルはどこかに保存しておきたい！｣という時は、クラウドストレージへ移動してしまえばOK。

ただし、クラウドストレージは”ファイルを保存する場所”として作られているものが殆どです。そのため、アップロードしたファイルは手作業で消す必要があるなど、”添付ファイル置き場”としての利便性が低いサービスもあります。

1-2.ファイル転送サービスを使う

ギガファイル便やデータ便などのサービス名を聞いたことがある人は多いのでは無いでしょうか？実際、筆者も業務でギガファイル便を使う方を何度か見かけました。

こうしたファイル転送サービスは、クラウドストレージと異なり“ファイルのやり取りに特化している”のが強み。送ったファイルは一定期間で削除したり、一度送信しても他の社員が承認を行うまでは送信されないように、内部で保留することができます。

法人向けのサービスならセキュリティも対策されており、ログイン回数に制限を設けることで総当りによるログインを防いだり、特定のIPアドレスのみダウンロードできるように制限することも可能。2段階認証も当然あります。

一方で、無料のファイル転送サービスなどはサーバーのセキュリティに不安が残ること、有料のサービスではコストが掛かることがネック。ファイル送信に特化している都合上、クラウドストレージのようにファイル置き場として使えないのも弱点です。

2.ファイルを開けないようにする

万が一ファイルを不正入手されてしまったとしても、ファイルを開けないようにすれば安心です。PPAPでは、パスワードをメールで送っていたため、メールが盗聴されてしまうと簡単にパスワードがバレてしまう、というのが弱点でした。また、パスワードがバレていなくても、簡単なパスワードなら総当たりで解除できてしまうのも弱点です。

2-1.パスワードは別の手段で伝える

FAXや電話など、メール以外の方法を使ってパスワードを相手に伝えます。そうすれば、メールが盗聴されていたとしても、パスワードを知られることはありませんから、ファイルの中身を盗まれる恐れはありません。以前よりも手間が増えてしまいますが、対策としては非常に強固です。

注意点として、パスワードは伝えやすさよりもセキュリティを重視すること。

電話でパスワードを伝えるとなると、小文字と大文字の分別や記号など、相手に伝えづらいパスワードはあまり使いたくないですよね。だからといって”数字のみの6桁のパスワード”などにしてしまうと、総当たりで簡単に解除できてしまいます。

そのため、現実的にはFAXなどで相手に送るのが無難でしょう。

この方法の隠された強みは“サイバー攻撃者が取引先になりすまして攻撃プログラムを送ってきた場合”に見破れることです。普段からFAXや電話でパスワードをやり取りしていれば、パスワードが記載されたメールを送られてきても｢怪しいぞ？｣と気づくことができますよね。

2-2.パスワードを強固にする

最も基本的な対策ですが、最も効果を発揮する対策でもあります。

前述した通り、最新のパソコンなら、簡単なパスワードは数秒で解析できてしまいます。しかし、複雑なパスワードにすれば最新のパソコンでも”数年単位”の時間を掛けなければ解析できません。

JPAAWGの調査^出典によると、『最新のパーツを装備したパソコン^脚注でも、“大文字小文字の英字+数字+記号”を用いた14桁のパスワードなら、解析に66億年掛かる』とのこと。これだけ時間がかかるなら、実質的には解析できませんよね。

パスワードを設定する時の重要なポイントは下記の3つ。特に最後が最も重要です。

• 英字は大文字と小文字を織り交ぜること
• 数字と記号も使うこと
• 10文字以上の長さにすること(長いほど強固)

強固なパスワードを設定して、総当たりを防ぎましょう。

3.ウィルス対策を行う

ファイルをパスワード付きのzipファイルにしてしまうと、紛れ込んだウィルスを検出できないことが弱点でした。zipファイルを使う限り、この弱点は改善することは難しいです。しかし、リスクを最低限に抑えることは可能です。

3-1.ファイルを圧縮する前にウィルスチェックを行う

初歩的な対策ですが、だからこそ忘れがちな対策です。圧縮されたファイルがスキャンできないのであれば、圧縮する前にスキャンすれば良いのです。

ウィルス対策ソフトを使って圧縮する前のファイルをスキャンすれば、ある程度の安全性は担保されます。

相手にウィルスを送ってしまうと、最悪の場合損害賠償に発展する可能性もあります。送るデータは慎重に検査しておきたいところです。

3-2.サンドボックスでファイルを開く

サンドボックスとは、簡単に言うと“不正なプログラムが活動できない区域”。パソコンの根幹となるシステムを防御しながら、ファイルを開くことができます。

サンドボックスでファイルを開くことで、万が一送られてきたファイルが危険な攻撃プログラムでもパソコンを守ることができます。

サンドボックスは各種ウィルス対策ソフトに機能として含まれることがあるほか、Windowsの高いグレードのものは｢Windows Sandbox｣という機能が搭載されています。

メールでもらったファイルはもちろん、ネットからダウンロードしてきたファイルなどを開くときにも活用できます。

まとめ

いかがでしたか？日本企業では官民問わず採用されてきたPPAP。しかし、IT技術の発展とサイバー攻撃の進化に伴い、現代ではセキュリティとしてそぐわない方法になりました。

｢今までPPAPでファイルを送っていた…｣という方は、この記事を参考に”PPAP離れ”に取り組んでみては如何でしょうか？

また、弊社の総合ネットワークセキュリティサービス｢アイ・セキュア｣では、PPAP対策に必要な”クラウドサービスの御紹介”から”UTMやウィルス対策ソフトの導入、設定、サポート”まで、セキュリティに関する様々なご相談を承っております。

それぞれの事業者様の規模感や業務内容に合わせて、適切な機器を選定するのが私達の強み。茨城県の事業者様なら調査からプランニングまで無料で承っておりますので、お気軽にこちらのフォームよりご相談くださいませ。

出典･関連リンク･脚注

出典：JPAAWG”ここが変だよPPAP“

脚注：調査環境は『GeForce RTX2080Ti x 2枚、Ubuntu 18.04.5 LT、CUDA 10.1.105』とのこと。