Zipファイルにパスワードを設定する方法は?
リスクや代替手段を解説
パスワード付きZipファイルの送信は、ファイル送受信の手段として日本で広く普及しています。
近年はE-mail添付を介して悪質なマルウエアやウイルスの感染が広がっているため、なおさら注意が必要です。
この記事は、IT部門・総務部門・DX推進の担当者に向け、パスワード付きZipファイルについてと、パスワード付きZipファイルの設定方法について解説します。送信時のセキュリティの脆弱性や、代替手段も解説しているので、参考にしてください。
目次
パスワード付きZipファイルとは
パスワード付きZipファイルとは、データをZipファイルに圧縮してパスワードを設定し、暗号化したものです。ファイル共有方法のひとつで、E-mailにZipファイルを添付して送信し、パスワードを別送します。一連の流れを示す「PPAP」という略語で呼ばれることもあります。
PPAPとは
PPAPとは日本で生まれた造語で、以下の頭文字から名付けられました。
・P:Password付きZip暗号化ファイルを送る
・P:Passwordを送る
・A:Angoka(暗号化)する
・P:Protocol(プロトコル)
プロトコルとは手順という意味です。パスワード付きZipファイル送信にはセキュリティ上の問題が多く、「PPAP」は皮肉が込められた呼び方です。
送受信の流れ
送信者側は、先方に送りたいファイルをZip形式に圧縮し、パスワードを設定します。ZipファイルをE-mailに添付して送信したら、解凍するために必要なパスワードを別のE-mailで送信します。
受信者側はZipファイルを受け取ったら、別のE-mailに記載されているパスワードを用いてファイルを展開します。
パスワード付きZipファイルが利用され続けてきた理由
問題点が指摘されながらも、パスワード付きZipファイルが廃止されない3つの理由について解説します。
誤送信によるリスクを減らせると考えられていた
1つ目の理由は、Zipファイルの送信先を間違えても、2通目のパスワード送信を中断できれば取り返しがつき、リスクを減らせると考えられたためです。しかし誤ったあて先に送ってしまった以上、リスク軽減にはなりません。E-mailに記載された内容からデータが推測されたり、解析ツールでパスワードが解読されたりする可能性があります。
情報セキュリティの審査基準に即していると考えられていた
2つ目は、個人情報保護の規格基準「プライバシーマーク」や、機密情報の安全管理基準「ISMS」の審査基準に対応していると考えられていたから、というものです。しかし形だけのPPAPはセキュリティレベル担保にはつながらず、対策として不十分であるという見解が、プライバシーマークの認証団体であるJIPDECから出されています。プライバシーマーク制度においては、個人情報を含むファイルの送信自体を推奨していません。
多くの企業で定着している
3つ目の理由は、パスワード付きZipファイル送信が、日本企業に広く普及し定着していることです。セキュリティ面の問題を把握していても、取引先とのやりとりで日常的に利用するケースが少なくありません。慣習化された方法から新しい運用方法に切り替えるには抵抗があり、移行しにくいという企業もあります。
Zipファイルにパスワードを設定する方法
Zipファイルに適切な方法でパスワードを設定すれば、送信ファイルの漏えいリスクを軽減することができます。
※Zipファイルにパスワードを設定し送信する方法を推奨しているわけではありません。後述の問題点もご参照ください。
Windowsで設定する方法
Windowsでパスワード設定可能なZipファイルを作成する機能が標準で備わっていたのはWindows XPまでです。利用環境によって、Zipファイルを圧縮・解凍できるフリーソフトをダウンロードしパスワードを設定する必要があります。
ここでは「7-Zip(セブンジップ)」というソフトでの設定方法を説明していきます。「7-Zip」のダウンロードが完了したら以下の手順でパスワード設定できます。
- 1.パスワード付きZipファイルにしたいフォルダを右クリック。
- 2.メニュー内の「圧縮」を選択。
- 3.「暗号化」の項目にパスワードを入力して「OK」をクリック。
- 4.暗号化されたZipファイルが表示されれば完了。
※セキュリティ上のリスクを抑えるため、「7-Zip」は最新のバージョンにアップデートしてお使いください。
Macで設定する方法
MacでZipファイルにパスワードを設定する際には「ターミナル」を使用します。
- 1.対象ファイルをデスクトップに置く。
- 2.アプリより「ターミナル」を起動。
- 3.「ターミナル」で「cd desktop」と入力。
- 4.「ターミナル」で「zip -e -r(Zipファイル後の名称).zip(Zipファイル化したいファイル名)」と入力。
- 5.「Enter Password」と表示されたら設定したいパスワードを入力。
- 6.「Verify password」と表示されたら同じパスワードを入力。
- 7.生成されたZipファイルを開きパスワード入力画面が表示されたら成功。
Zipファイルのパスワードを解除する方法
Zipファイルのパスワードを解除する方法も設定時と同様にOSによって方法が異なります。
Windowsで解除する方法
- 1.対象のZipファイルをダブルクリック。
- 2.パスワードを入力し「OK」をクリック。
- 3.パスワードが正しく解除されれば解凍ファイルが自動的に作成される。
Macで解除する方法
- 1.開きたいパスワード設定されているZipファイルをダブルクリックする。
- 2.正しいパスワードを入力する。
- 3.パスワードが正しく解除されればZipファイルが解凍される。
パスワード付きZipファイル送信の問題点
パスワード付きZipファイルの送信は、セキュリティ対策として不十分であるとして、問題点が指摘されています。2020年10月に、日本政府が中央省庁の業務での使用廃止を決定した影響により、民間企業でも廃止を検討する企業が増えています。ここでは、パスワード付きZipファイルを送信する際の問題点について解説します。
暗号の強度が低い
Zipの暗号化方式はZipCryptoとAES-256の2種類があり、比較すると暗号の強度が高いのはAES-256です。しかし日本で一般的に使われているのは、Windowsに標準装備のZipCrypto方式です。暗号の強度が低く、パスワード解析ツールや総当たり攻撃を受けると、解読される可能性があります。
パスワード付きZipファイルはウイルスチェックの対象外
通常のZipファイルはウイルスチェックでスキャンできますが、暗号化されると多くの場合、チェック対象外となります。ウイルスやマルウエアが仕込まれた添付ファイルを受信してしまい、感染する事例が拡大しています。セキュリティ対策として、Zipファイルを添付したE-mailをブロックする設定をする企業が増えています。
受信者側の作業負担が大きい
受信者側に作業負担がかかることにも注意しなければなりません。Zipファイルを開く際に、パスワードが記載された別のE-mailを探す必要があります。Zipファイルを開くたびにパスワード入力が必要で手間がかかります。頻繁にZipファイルのやりとりをするほど、受信者側に業務効率や生産性の低下をもたらします。
誤送信の可能性がある
パスワード付きZipファイル送信は、2通目のパスワードを送る際に間違いに気づけばリスクを回避できると考えられてきました。しかしあて先を間違えている場合、気づかずにパスワードを記載したE-mailも送ってしまう可能性が高く、誤送信のリスク対策にはなりません。パスワード送付が防げたとしても、解析ツールを使って解読される可能性もあり、一度送った情報を回収するのは困難です。
パスワード付きZipファイル送信の危険性
パスワード付きZipファイルを送信すると、情報漏えいやマルウエアのリスクがあります。ここではその危険性について解説します。
情報漏えい
E-mailの誤送信、ウイルス感染、マルウエア攻撃などにより、情報漏えいにつながる可能性があります。情報漏えいは企業に多大なダメージを与えうるものです。万が一発生すると、業務停止による利益減少や社会的信用の低下、行政指導や刑事罰、顧客への損害賠償、社内のモチベーション低下など、多方面に影響が生じる可能性があります。
マルウエアへの感染
マルウエアは、E-mailに添付されたWordやExcelなどの文書を介して感染します。パスワード付きZipファイルはウイルスチェック対象外であるという脆弱性をついた攻撃で、2021年11月頃から感染・拡大能力の強いエモテット(Emotet)の被害が増えています。感染による被害は、データ破壊・改ざん・盗難、なりすましによるSNSへの書き込み、第三者への攻撃、PC端末の操作不能などです。
エモテット(Emotet)とは
エモテット(Emotet)とは、悪意のあるマクロを起動させて情報を不正に搾取するマルウエアで、2014年に確認されました。感染・拡大能力が強いのが特徴です。なりすましメールの添付ファイルに仕込まれており、感染すると端末に登録された情報を通じて、関係者や取引先にも感染を拡大していきます。
パスワード付きZipファイルの代替策
では、パスワード付きZipファイルに代わる安全性の高いデータ送付の方法とは、どのようなものがあるのでしょうか。ここでは3つの代替策を解説します。
ファイル転送サービス
ファイル転送サービスは、大容量のデータでも安全に送れるシステムです。送信者がサーバーにファイルをアップロードし、ダウンロード専用のURLをE-mailで受信者に送ります。受信者はURLからダウンロードして、データを受け取る仕組みです。保管期間がありデータが自動削除されるなど、セキュリティに配慮した機能がついているサービスもあります。大容量データを送信できる・セキュリティ機能の内容や強度が充実しているなどのメリットがある一方、無料のファイル転送サービスを利用した場合には、複数人がサーバーにアクセスして利用することで、情報漏えいのリスクがある点などがデメリットとして挙げられます。
オンラインストレージ
オンラインストレージ上にファイルを保存し、保存先のURLを相手に送り、共有する方法です。受信者側は、URLからファイルをダウンロードできます。認証によるアクセス制限、ダウンロード制限、権限付与などセキュリティ対策が施されています。権限のない人はアクセスできないため、セキュリティ対策として有効です。オンラインストレージに保存されたデータは、インターネットでアクセスできる環境さえあれば時間や場所等の制約を受けず利用でき、一度格納すれば大容量のデータでもURLを送るだけでデータ共有が可能になる点は大きなメリットですが、インターネットに接続しないと利用できない点がデメリットです。
ビジネスチャットツール
ビジネスチャットツールとは、ビジネス用途に特化した、リアルタイムのコミュニケーションができるツールです。ファイル共有機能を利用して、ファイルの受け渡しができます。E-mailに比べて相手を限定しやすいため、誤送信のリスクは低くなります。普段からビジネスチャットツールを利用している企業では、代替手段として手軽に導入しやすいでしょう。チャット機能に限定すると、コミュニケーション円滑化や情報共有の効率化などのメリットが得られる反面、対面コミュニケーションの減少やテキストに限定したやり取りにより、意図が間違って伝わる場合があるといったデメリットがあります。
S/MIME
S/MIME(エスマイム)とは、Secure / Multipurpose Internet Mail Extensionsの略で、電子署名と暗号化技術を用いたセキュリティ対策の規格です。セキュリティが厳重な銀行などでのE-mailの送受信で採用されており、添付ファイルから本文までメールの送受信すべてを暗号化でき、盗聴防止につながります。
S/MIMEの最大のメリットはE-mailのセキュリティを大幅に向上させることができる点です。暗号化技術によりE-mailの内容を第三者に読み取られるリスクを軽減できます。さらにS/MIMEによって可能となる電子署名は送信者の身元を確認できるため、なりすましメールの防止になります。一方、デメリットとして導入コストが大きいことや、設定・管理の難しさが挙げられます。
大容量・重要ファイル転送には「SECURE DELIVER」がおすすめ
「SECURE DELIVER(セキュアデリバー)」は、ファイルの送受信・転送に特化したクラウドサービスです。重要データや大容量のファイルを安全に効率よく共有できます。ファイルのZip化やパスワードの設定は不要で、操作の手間が省け、業務効率化につながります。
送信・転送相手がダウンロードできたのかをリアルタイムで確認できたり、誤送信があればダウンロードURLを無効にできたり、便利な機能が充実しています。
まとめ
パスワード付きZipファイルのメール送信は、ファイルとパスワードを別送することでリスク軽減につながると考えられてきましたが、近年ではセキュリティ上の危険や作業負担増加などの問題が明らかになりました。安全なファイル送信には、代替策を導入する必要があります。
「SECURE DELIVER」は、ファイル転送に特化したサービスです。送付先ユーザーの取得状況が確認できるなど、シンプルな機能・操作で利用しやすく、高いユーザー定着率を誇ります。10,000IDが付属しているのでID課金の心配がなく、全社利用を視野に入れた導入が可能です。また運用規模に合わせたプランを選べば、部署単位・事業所単位でもセキュリティ強化が気軽にスタートできます。詳しくは資料をご覧ください。
