パスワード付きZIPファイルの添付は意味があるのか?
先日こんな記事を見ましたのでご紹介いたします。
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に
「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。
政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。
この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に
「メールによるパスワード付きファイルの受信を廃止する」と発表しました。
またプライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、
2020年11月18日に「メール添付のファイル送信について」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。
パスワード付きZIPファイルは無意味?の3つの理由
1.パスワード付きZIPファイルは、Windowsでパスワード付きZIPをダブルクリックすると、
パスワードなしでディレクトリ構造やファイル名を確認できます。
この点だけでもパスワード付きZIPファイルは、
完全な「暗号化」ではないと理解できると思います。
2.通常のWebサイトであればパスワード入力が何度も実行された場合、
ロックをかけることも可能です。
一方でZIPファイルは、パスワードを総当たりすれば解除できてしまう可能性がありますし、
ZIPパスワードを無理やりこじ開けるアプリも数多くリリースされています。
3.メールのセキュリティ機構をすり抜けることです。
企業が導入するようなメールのセキュリティソフトは、
メール本文に書かれたURLや添付ファイルのスキャンを実施します。
セキュリティソフトの中には、マクロを含む「Microsoft Word」ファイルだった場合、
マクロにマルウェアが仕込まれているかどうかを直接スキャンして確かめたり、
ZIPファイルの中身を展開してスキャンしたり、
実行ファイルをサンドボックスで疑似的に実行させて挙動を見たりするものもあります。
一方でこれらのセキュリティソフトは、パスワード付きZIPファイルを展開できなかったり、
中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。
攻撃者にとってここが絶好の「穴」です。
実際にマルウェア「Emotet」の感染拡大手法においては、パスワード付きZIPファイルを利用した攻撃事例も観測されています。
重要なのはやめることではなく「何に代替するか」
パスワード付きZIPファイルの添付をやめることは大切ですが、問題はその後どうやってファイルの送受信を実施するかです。
JIPDECは「送信先や取り扱う情報などを踏まえてリスク分析を実施した上で、
必要かつ適切な安全管理措置を講じてほしい」という表現にとどめています。
『パスワード付きZIPファイル』を行う理由は誤送信対策やPマークやISMSの審査の為、
お取引先からの要求や、取り扱う情報によると思いますが、見直すいい機会ではないでしょうか?
出典 Itmedeliaエンタープライズ https://www.itmedia.co.jp/enterprise/articles/2011/24/news020.html