2020年11月、平井卓也デジタル改革担当相は、中央省庁の職員がメールでファイルを送信する際に利用されてきた「パスワード付きZipファイル」を廃止する方針を明らかにしました。
改めて、パスワード付きZipファイルとは何か、何が問題だったか、パスワード付きZipファイルを利用せずにどのような方法でセキュリティを高めるべきかについてお伝えします。

「パスワード付きZipファイル」とは何か

ビジネスパーソンの多くは、以下のようなメールを受け取ったことがあるのではないでしょうか。

パスワード付きZipファイルとパスワード記載メール別送

これが「パスワード付きZipファイル」です。

この「添付ファイル暗号化+パスワード生成+パスワード送付」は、無料のファイル暗号化ツールでも行うことができますが、手動で暗号化とパスワード作成を行うのは手間がかかるだけではなく、パスワード付与漏れなどの作業ミスが生じます。このため、多くの企業や組織では、メールソフトと連動して動く「パスワード付きZipファイル自動作成・パスワード自動送信サービス」が利用されています。

「添付ファイルが暗号化されていること」「パスワードが別メールで送付されること」から、「万が一、添付ファイルを含む1通目のメールが漏えいしても、2通目のメール記載のパスワードがなければファイルを開けないので安全」と認識され、多くの企業・組織で利用されるようになりました。

パスワード付きZipファイルの何が問題だったのか

パスワード付きZipファイルにより高いセキュリティが確保されるのであれば、このまま継続して利用するのが望ましいはずです。しかし、2020年11月に中央官庁ではパスワード付Zipファイルの利用を廃止すると明言しました。また、同年同月にプライバシーマーク(Pマーク)の認証を付与する団体であるJIPDECも、「パスワード付きZipファイルは以前より推奨していなかった」と公式見解を出しています。

今回、廃止にいたった背景として、「1通目の情報のみ盗まれても、2通目が盗まれなければファイルが開けないからセキュリティが高い」と認識されていますが、攻撃者がメールを1通だけ盗むという事は考えにくく、メールが盗聴されている場合、添付ファイルだけが暗号化されたとしても、メール本文が平文(暗号化されていないテキスト)で送信されている場合、攻撃者に盗聴されてしまいます。よって、添付ファイルとパスワードを分けて送信しても、セキュリティ的に意味がありません。

また、多くのメールソフト・サービスでは、メール受信時に不審な添付ファイルを検出し、疑わしいものがあれば削除するという動作を行っています。これにより、メール受信者がうっかり不審なファイルを開いてもウイルスに感染する、または端末が乗っ取られるといったリスクを防いでいますが、添付ファイルを自動で暗号化する機能を利用しているユーザが、ウイルスなどに感染していた場合、疑わしいファイルを検出できず、ユーザが添付ファイルを開いてしまうため、セキュリティ的に意味がないうえ、むしろ「脅威」にもなります。

ウイルスに感染した端末からは、ウイルスが添付されたファイルを連絡先に対して勝手に送付されてしまい、ウイルスを含んだまま添付ファイルが暗号化されるため、ウイルスが検出しにくくなってしまいます。その結果、メール受信時に検出できなかった不審な添付ファイルが知らず知らずのうちに別のユーザのもとに届き、これを開くことでウイルスの二次被害に繋がってしまう恐れがあります。

メールのセキュリティが保たれるためには

問題がありながらも使われてきたパスワード付きZipファイルですが、代替手段として「S/MIME」というメール用の電子証明書を使う方法があります。

「S/MIME」は、電子証明書を用いてメール自体を暗号化し、さらに本人から送られた証明となる電子署名を付けることができます。パスワード付きZipファイルの場合、暗号化されているのは添付ファイルのみですが、送受信双方がS/MIMEを利用した場合、添付ファイルだけでなくメール自体が暗号化され盗聴を防ぐことができます。また万が一、送信後、相手が受信するまでに改ざんがあった場合は、警告表示が出るようになります。

他にも添付ファイルを送付する方法として、SlackやTeams、Chatworkなどのビジネスチャットツールや、DropboxやGoogle Driveなどのクラウドストレージを併用する方法もあります。しかし、それぞれのツールでも受信側と送信側双方で利用できる状態でなければならないことは変わらず、取引先や顧客ごとによりポリシーが異なるため、共通で同じツールを導入するのは難しいのが現状です。

一方で、電子メールは既に多くの企業で利用されており、S/MIMEは、Office365やOutlook、iPhone・iPad メール、Notesなど多くのメールソフトに対応しているため、「利用したいが相手先が対応できないない」というケースは少なく、今後はビジネスメール大半が平文ではなく、暗号化されてやりとりされるようになることが望まれます。今まで当たり前だったパスワード付きZipファイルの廃止した後のメールでのやり取りの仕方を考え、安全な電子メール環境の構築が急務となります。

トピック関連記事

#

2020年04月15日

年々被害が増加する、ビジネスメール詐欺 (BEC) の実態

#

2019年11月26日

情報セキュリティの課題を解決する公開鍵暗号方式

#

2020年11月10日

ビジネスメール詐欺(BEC)対策として知るべきメールセキュリティ

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。