一方で、海外ではパスワード付き Zip ファイルがメールで来ると、「マルウェア(ウイルス)が来た!」とセキュリティチームで盛り上がるという話もあるなど、その扱いが日本とはまったく違った状況であることも分かります。
パスワード付き Zip ファイルは、セキュリティ製品の中身を完全に検査できるものではないこともあり、海外ではパスワード付き Zip ファイルをメールで送付することはほぼありません。しかし日本では長年の間、この奇習が染みついてきました。
ここで、PPAP の問題を整理してみたいと思います。
● PPAP のメリット
まずは PPAP のメリットと考えられていた事項と、現在の状況をお伝えします。
1.メールの途中経路での盗聴防止 おそらくこれが PPAP をおこなう最大の理由だったのではないかと思います。メールが盗聴された際に、メール自体を入手されたとしても、添付ファイルをパスワード付きの Zip ファイルにしておけば、ファイルの中身までは見られない、というものです。ただし、残念ながらパスワードも同じ経路で送っているのであれば、意味がありません。
2.誤送信対策 最初のファイル添付時に気づけなかったとしても、あとからパスワードを送る際に送付先の誤りに気づくことがあります。これが誤送信対策になると考えられてきました。ただし、昨今添付ファイルを自動でパスワードつき Zip に変換し、パスワードも後から自動で送付するサービスが登場することによって、こういった製品を使っていた場合は、誤送信対策としては使えなくなりました。
1.セキュリティ製品で検知できず サンドボックスをはじめ多くのセキュリティ製品では、パスワード付き Zip ファイルの中身を検査することができない実情があります。もちろん、メールの本文に含まれるパスワードを抽出したり、パスワード辞書を使って Zip ファイルをこじ開けて中身を検査する製品もあります。しかし、メールに含まれるパスワードの検出が困難だったり、パスワードの桁数が長くて解けない場合もあり、Zip を開けられない場合はそのまま検査されずに送信されてしまいます。
2.業務負荷 人力で Zip を作り、パスワードをあとから送付するやり方は、送信者側だけでなく、受信者にも負荷がかかることがあります。特にしばらくしてからメールを開く場合などには、別送されたパスワードの行方が分からなくなることも多々あります。また、最近では携帯電話等でメールを確認することが増えていますが、携帯電話では Zip ファイルを開くことはできません。
3.攻撃者の悪用の本格化 おそらくこのタイミングで、PPAP の使用が廃止されるのは、攻撃者のパスワード Zip の悪用が本格化したせいかと思います。日本を含み世界で大規模に攻撃を展開している Emotet もパスワード付き Zip を利用した攻撃の展開が行われるようになりました。
1.平文でファイルを送る、パスワードなし Zip、パスワードなしリンク 脱 PPAP と聞いて勘違いしてしまいそうなのが、暗号化しない平文のままのファイル、パスワードなしの Zip ファイルのメール送付や、パスワードなしのダウンロードリンクをメールで送付することです。これでは、メールを盗聴された場合のリスクがそのまま残ってしまいます。
2.メールでパスワード付き Zip を送付した後、別の手段でパスワードを送付 メールで今までのようにパスワード付き Zip ファイルを送付した後に、例えば電話や SMS など別の手段でパスワードを伝える策もよく聞かれます。ただし、この場合、セキュリティ製品で完全に検査できないというリスクが残ったままとなり、これもお薦めできません。
