パスワード付きZipファイルの弱点とは|セキュリティリスクや代替手段を解説
パスワード付きZipファイルの送信は、ファイル送受信の手段として日本で広く普及しています。
近年はE-mail添付を介して悪質なマルウェアやウイルスの感染が広がっているため、注意が必要です。
この記事は、IT部門・総務部門・DX推進の担当者に向け、パスワード付きZipファイルについて解説します。送信時のセキュリティの脆弱性や、代替手段も解説しているので、参考にしてください。
目次
パスワード付きZipファイルとは
パスワード付きZipファイルとは、データをZipファイルに圧縮してパスワードを設定し、暗号化したものです。ファイル共有方法のひとつで、E-mailにZipファイルを添付して送信し、パスワードを別送します。一連の流れを示す「PPAP」という略語で呼ばれることもあります。
PPAPとは
PPAPとは日本で生まれた造語で、以下の頭文字から名付けられました。
・P:Password付きZip暗号化ファイルを送る
・P:Passwordを送る
・A:Angoka(暗号化)する
・P:Protocol(プロトコル)
プロトコルとは手順という意味です。パスワード付きZipファイル送信にはセキュリティ上の問題が多いため、皮肉が込められた呼び方です。
送受信の流れ
送信者側は、先方に送りたいファイルをZip形式に圧縮し、パスワードを設定します。ZipファイルをE-mailに添付して送信したら、解凍するために必要なパスワードを別のE-mailで送信します。
受信者側はZipファイルを受け取ったら、別のE-mailに記載されているパスワードを用いてファイルを展開します。
パスワード付きZipファイルを送信する問題点
パスワード付きZipファイルの送信は、セキュリティ対策として不十分であるとして、問題点が指摘されています。2020年10月に、日本政府が中央省庁の業務での使用廃止を決定した影響により、民間企業でも廃止を検討する企業が増えています。ここでは、パスワード付きZipファイルを送信する際の問題点について解説します。
暗号の強度が低い
Zipの暗号化方式はZipCryptoとAES-256の2種類があり、比較すると暗号の強度が高いのはAES-256です。しかし日本で一般的に使われているのは、Windowsに標準装備のZipCrypto方式です。暗号の強度が低く、パスワード解析ツールや総当たり攻撃を受けると、解読される可能性があります。
パスワード付きZipファイルはウイルスチェックの対象外
通常のZipファイルはウイルスチェックでスキャンできますが、暗号化されると多くの場合、チェック対象外となります。ウイルスやマルウェアが仕込まれた添付ファイルを受信してしまい、感染する事例が拡大しています。セキュリティ対策として、Zipファイルを添付したE-mailをブロックする設定をする企業が増えています。
受信者側の作業負担が大きい
受信者側に作業負担がかかることにも注意しなければなりません。Zipファイルを開く際に、パスワードが記載された別のE-mailを探す必要があります。Zipファイルを開くたびにパスワード入力が必要で手間がかかります。頻繁にZipファイルのやりとりをするほど、受信者側に業務効率や生産性の低下をもたらします。
誤送信の可能性がある
パスワード付きZipファイル送信は、2通目のパスワードを送る際に間違いに気づけばリスク回避できると考えられてきました。しかしあて先を間違えた場合、気づかずにパスワード記載のE-mailも送る可能性が高く、誤送信のリスク対策にはなりません。パスワード送付が防げたとしても、解析ツールを使って解読される可能性もあり、一度送った情報を回収するのは困難です。
パスワード付きZipファイルを送信する危険性
パスワード付きZipファイルを送信すると、情報漏えいやマルウェアのリスクがあります。ここでは危険性について解説します。
情報漏えい
E-mailの誤送信、ウイルス感染、マルウェア攻撃などにより、情報漏えいにつながる可能性があります。情報漏えいは企業にとって多大なダメージです。万が一情報漏えいが発生すると、業務停止による利益減少や社会的信用の低下、行政指導や刑事罰、顧客への損害賠償、社内のモチベーション低下など、多方面に影響が生じます。
マルウェアへの感染
マルウェアは、E-mailに添付されたWordやExcel文書を介して感染します。パスワード付きZipファイルはウイルスチェック対象外という脆弱性をついた攻撃で、2021年11月頃から感染・拡大能力の強いエモテット(Emotet)の被害が増えています。感染による被害は、データ破壊・改ざん・盗難、なりすましによるSNSへの書き込み、第三者への攻撃、PC端末の操作不能などです。
エモテット(Emotet)とは
エモテット(Emotet)とは、悪意のあるマクロを起動させて情報を不正に搾取するマルウェアで、2014年に確認されました。感染・拡大能力が強いのが特徴です。なりすましメールの添付ファイルに仕込まれており、感染すると端末に登録された情報を通じて、関係者や取引先にも感染を拡大していきます。
パスワード付きZipファイルが利用され続けてきた理由
問題点が指摘されるなか、パスワード付きZipファイルが廃止されない3つの理由について解説します。
誤送信によるリスクを減らせると考えられていた
Zipファイルの送信先を間違えても、2通目のパスワード送信を中断できれば取り返しがつき、リスクを減らせると考えられたためです。しかし誤ったあて先に送ってしまった以上、リスク軽減にはなりません。E-mailに記載された内容からデータが推測されたり、解析ツールでパスワードが解読されたりする可能性があります。
情報セキュリティの審査基準に即していると考えられていた
個人情報保護の規格基準「プライバシーマーク」や、機密情報の安全管理基準「ISMS」の審査基準に対応していると考えられていたのも理由です。しかし形だけのPPAPはセキュリティレベル担保にはつながらず、対策として不十分であるという見解が出されています。プライバシーマーク制度においては、個人情報を含むファイルの送信自体を推奨していません。
多くの企業で定着している
パスワード付きZipファイル送信は、日本企業に広く普及し定着しています。セキュリティ面の問題を把握していても、取引先とのやりとりで日常的に利用するケースが少なくありません。慣習化された方法から新しい運用方法に切り替えるには抵抗があり、移行しにくいという企業もあります。
パスワード付きZipファイルの代替策
パスワード付きZipファイルを使わなくても、データの送付は可能です。ここでは代替策を解説します。
ファイル転送サービス
大容量のデータでも安全に送れるシステムです。送信者がサーバにファイルをアップロードし、ダウンロード専用のURLをE-mailで受信者に送ります。受信者はURLからダウンロードして、データを受け取る仕組みです。保管期間がありデータが自動削除されるなど、セキュリティに配慮した機能がついているサービスもあります。
オンラインストレージ
オンラインストレージ上にファイルを保存し、保存先のURLを相手に送り、共有する方法です。受信者側は、URLからファイルをダウンロードできます。認証によるアクセス制限、ダウンロード制限、権限付与などセキュリティ対策が施されています。権限のない人はアクセスできないため、セキュリティ対策として有効です。
ビジネスチャットツール
ビジネスチャットツールとは、ビジネスに特化したコミュニケーションツールです。ファイル共有機能を利用して、ファイルの受け渡しができます。E-mailに比べて相手を特定しやすいため、誤送信のリスクは低くなります。普段からビジネスチャットツールを利用している企業では、代替手段として手軽に導入しやすいでしょう。
S/MIME
S/MIME(エスマイム)とは、Secure / Multipurpose Internet Mail Extensionsの略で、電子署名と暗号化技術を用いたセキュリティ対策の規格です。銀行のようなセキュリティが重要なE-mailの送受信で採用されており、添付ファイルから本文までメールの送受信すべてを暗号化でき、盗聴防止につながります。
大容量・重要ファイル送信には「SECURE DELIVER」がおすすめ
「SECURE DELIVER」は、ファイルの送受信・転送に特化したクラウドサービスです。重要データや大容量のファイルを安全に効率よく共有できます。ファイルのZip化やパスワードの設定は不要で、操作の手間が省け、業務効率化につながります。
送信相手がダウンロードできたのかをリアルタイムで確認できたり、誤送信があればダウンロードURLを無効にできたり、便利な機能が充実しています。
まとめ
パスワード付きZipファイルとは、暗号化してパスワードを設定したファイルです。ファイルとパスワードを別送するため、リスク軽減につながると考えられてきましたが、セキュリティの脆弱性や作業負担増加といった問題点があります。ファイル共有を行う場合は、代替策の導入がおすすめです。
SECURE DELIVERは、ファイル転送に特化したサービスです。送付先ユーザの取得状況が確認できるなど、シンプルな機能・操作で利用しやすく、高いユーザー定着率を誇ります。IDで課金されない従量課金の低コストで運用でき、全社導入しやすいのが魅力です。詳しくは資料をご覧ください。