第04回　2021.01.04 / 最終更新：2021.01.04

めざせ、脱パスワード付きZipファイル

こんにちは、菱沼です。

平井卓也デジタル改革担当相が11月17日の定例会見でパスワード付きZipファイルを廃止するという方針を明らかにしてから早1か月以上が経ちました。政府の方針が明らかになってすぐにパスワード付きZipファイルを廃止するという発表をした企業もありましたが、みなさまの企業ではどのような方針にされていますでしょうか？

 

今回はパスワード付きZipファイルについて改めて考えてみたいと思います。

 

■パスワード付きZipファイルが使われた理由とその意義

平井卓也デジタル改革担当相が明らかにしたパスワード付きZipファイルの廃止という方針は、「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」というところからスタートしているようです。

 

そもそも、パスワード付きZipファイルにして添付する理由は何だったのでしょうか？大体次の2点が目的だったように思います。

 

①誤送信時の情報漏洩を防止

②メールの盗聴によるデータの盗難・情報漏洩の防止

 

私自身、これらを理由としたパスワード付きZipファイルの運用を求められましたし、実際にそうした運用をしてきました。ですが、正直に言えば、面倒でしたし、それをして何の意味あるのかと疑問に思っていました。

 

誤送信に関していえば、通常、送信したメールのアドレスが間違っているかは送信した後に確認することはめったにありません。そのため、事前にパスワードを相手と取り決めておかなければ、結局パスワードも間違った相手に届いてしまうため、相手は開封できてしまいます。これは手作業であっても、システムを介在させたとしても同様のことが起こりえます。

 

そしてデータの盗難という観点から見ても、その効果は疑問です。

なぜなら攻撃者は狙った企業から情報を奪うチャンスを狙ってずーーーーーーーーーーっと監視をしているからです。つまり、彼らはたまたまの一瞬だけメールを盗むのではなく、ずっとメールを盗聴し続けているので、やっぱりこれも、口頭か書面かで事前に取り決めるかをしておかない限り意味がないよな…と考えていました。

 

けれど、そう思ってはいたものの、なぜその運用をしていたかと言えば、一番の理由はそれが「会社のルール・方針だと決められた」からにほかなりません。会社からしたら、社員がやらかしてしまったときに、対策はしていたのだと顧客にアピールする（社員を守る）ことで、損害賠償というリスクを軽減・抑制するという意味もあったのかもしれません。

 

■マルウェア感染防止の観点から見ても添付ファイルは厳しい時代

そうした中、2019年11月頃から特に話題となっているemotetというマルウェアの存在によってパスワード付きZipファイルはその在り方をさらに問われる事態になりました。

emotetは、実在の人物や組織に偽装してメールを送信（なりすましメール）します。そこには添付ファイルや悪意のあるサイトへ誘導するURLが含まれているのですが、最近の手口ではパスワード付きのZipファイルが利用されているようです。これをうっかり開封してしまうとマルウェアに感染します。

 

知人からのメールだと偽装されていることで添付ファイルへ向ける疑いの気持ちは失われます。さらにウイルススキャンが反応しなければ疑う余地なしと開封してしまうことでしょう。

ですが、実はすべてのウイルス対策ソフトが、暗号化Zipファイルに対してウイルススキャンできるとは限りません。利用しているウイルス対策ソフトが、Zipファイルに対応していないことを知らなければ、ユーザーは何の注意も持たず、被害に遭ってしまうのです。

実際、日本国内では2019年10月頃から被害数が増加しており、大手企業や学校なども被害に遭っているようです（参考：Emotet感染の被害にあった企業事例一覧）。

 

そのような状況であるため、そもそもメールにZipファイルを添付することが忌避されるようになってきているように思います。

 

■政府は脱パスワード付きZipファイルでストレージサービスの利用へ

さて、では政府はどのようにしているのでしょうか。

内閣府と内閣官房は11月26日からファイル送信時の新ルールを適用して運用をスタートしているようです。今後は外部ファイルの送信には内閣府のストレージサービスを利用することになり、外部の事業者とのファイルのやり取りは1回限りのURL・パスワードを発行されるそうです。また、ストレージサービスへアクセスができない事業者に対してはプロジェクトの立ち上げ時にパスワードを決めるといったこともするとのこと。このような対応をとることで、従来のような、ファイルを送信した方法と同じ方法でパスワードを共有するのを止めるということになりました。

（参考：内閣府と内閣官房で脱“パスワード付きZIP”運用を開始　ファイル送信は内閣府のストレージサービス活用）

 

政府がパスワード付きZipファイルを廃止すると明らかにした際に追随するように止めることを発表した企業も運用方法に違いはありますが、同様にストレージサービスを利用しているようです。また、その企業は取引先にもZipファイルの添付を止めることを求め、添付されていた場合はサーバで削除されるようにしているようです。

 

どちらもキーになるのはストレージサービスで、その共有方法と取引頻度に合わせられる柔軟性、セキュリティ対策が取られていること、UIのわかりやすさの4点が重要になるのではないでしょうか。

 

鈴与シンワートではオンラインストレージサービスGIGAPODをおすすめしています。

同サービスではゲストフォルダを作成することができるため、取引先ごとのフォルダを作成し、それぞれの担当者と共有することも可能です。もちろんURLによる共有も可能であるため、一時的な取引での共有も簡単に行えます。

AD連携やコンプライアンス対応に適したログ管理、細かに設定できる権限管理など、セキュリティを担保することができる機能も搭載されています。

ユーザー視点から言えば、インターフェースは直感的に使えるものであるため、利用する際のとっつきにくさはありません。ユーザーが使い方に悩むようなものだと使われなくなってしまうという本末転倒な事態になりますので、この点も重要ですね。ご興味のある方は以下URLをご参照ください。

テレワークの情報共有をもっとスマートに｜オンラインストレージGIGAPOD

 

ファイルの共有方法やストレージの運用方法は企業ごとに違いますし、取引先との都合も関係してくるため、一概にこれがいいという方法はないとは思います。ですが、大切なのは、情報を守りつつ、お互いに運用の負担が少ない方法だと思います。運用ルールを含め、しっかりと考えていきたいですね。

 

それでは今回はこちらで終了です。お付き合いいただきありがとうございました。