ニュース
添付ファイルのZip暗号化(PPAP)への対処方法、クオリティアが発表
2020/12/24 15:52
クオリティアは12月23日、添付ファイルのZip暗号化(PPAP)への対処について見解を発表した。
以前から、添付ファイルのZip暗号化(PPAP)はセキュリティ上あまり効果がないといわれてきたが、11月17日に平井デジタル改革担当大臣が11月26日から霞が関での利用を廃止すると会見で明らかにしたことで、さらに注目が集まっている。
同社では、Zip暗号化の問題点について、(1)暗号化した添付ファイルとパスワードを同一経路で送信している、(2)ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない――の2点を挙げている。
まず、暗号化したファイルをメールに添付して送り、同一経路で後追いパスワードを受信者に伝えることは、その経路上を第三者に盗聴されていたとしたら、添付ファイルにパスワードを掛けていたとしてもパスワードまで傍受されるため暗号化の意味がない。
また、猛威を振るうEmotet(エモテット)、新たに報告されているIcedID(アイスド アイディー)などのマルウェア(ウイルス)は、ファイルを暗号化しメール添付で送られてくるため、一般のセキュリティソフトでは検出が困難で、ウイルスチェックやサンドボックスチェックをすり抜けてしまうとしている。
Zip暗号化の代替手段としては、さまざまな方法が提案されているが、受信者側のセキュリティ性を担保しつつ同時に送信者の利便性も維持することを念頭に置くと、どの手段も現状では完全な解決策といえるものではなく、いくつか懸念される点もある。
こうした状況を受け、同社製品・サービスを利用中の顧客、また利用を検討中の顧客には、Zip暗号化の代替手段として3つの対処方法を推奨している。
一つは、同社のメール誤送信防止製品・サービス「Active!gate」「Active!gate SS」に標準搭載されている「添付ファイルWebダウンロード機能」を利用すること。添付ファイルWebダウンロード機能は、メール送信時に本文と添付ファイルを自動的に分離し、添付ファイルはメール本文に記載されたURLのウェブサーバー上からパスワードを利用してダウンロードする機能。ウェブサーバー上に分離されているファイルをユーザーは削除、またはダウンロードロックすることもでき、メールの一時保留機能と組み合わせることで誤送信対策レベルの維持・向上を実現する。ファイルのダウンロード期限を設ける、受信者のファイルダウンロードを確認したらサーバー上のファイルを削除するなどの運用をすることで、より安全に利用することができる。
二つ目は、「パスワードをヒントで伝える」こと。Active!gate、Active!gate SSには「添付ファイルの暗号化機能」と「添付ファイルWebダウンロード機能」が標準で搭載されているが、いずれも受信者側がファイルを取得するためのパスワードを設定することになる。そのパスワードの通知方法にはいくつか設定があるなかで、同社は「パスワードをヒントで伝える」設定を推奨している。
前述した理由によりメール送信経路が盗聴されているのであれば、同一経路で暗号化されたファイルとパスワードを送っても、金庫と金庫のカギを取得されてしまえば中身は盗まれたも同然。そこで、「以前伝えた12桁のパスワードです」などの送信者と受信者しかわからない文字列をパスワードに設定し、そのヒントだけを相手に伝えるという手段がある。とくに、Active!gate、Active!gate SSにはパスワードの通知方法を「ヒントで教える」に強制させる管理者設定もあり、ユーザーはパスワードを手動で設定した後ヒントでしか通知できないようにする運用を実現可能。それ以外には、別経路で送信するなどの対処をして利用するようにしてほしいとしている。
三つ目は、「Zip暗号化ファイルの検知」を行うこと。前述したようにインターネットを行き交うメールはまだすべての経路が暗号化されているわけではなく、平文の状態で送受信されるケースが多く見受けられる。そのため、インターネットに接続しているすべてのメールサーバーが送受信ともにSTARTTLSなどの暗号化通信に対応するまでは、盗聴防止という観点ではZip暗号化という手段はセキュリティ的に有効であると同社では考えている。
一方で、受信者の側からするとEmotet、IcedIDなどに見られる悪意あるZip暗号化ファイルの検疫は、入り口対策として実現しなければならない。そうした考えの顧客には、同社の標的型メール攻撃対策製品「Active!zone×サンドボックス」の利用を推奨している。Active!zone×サンドボックスを利用することで、パスワード付きZipファイルの中身まで検知できるようになるため、一般的なセキュリティ製品では対処が困難なEmotetやIcedIDにも効果を発揮する。
同社では、Zip暗号化の代替手段として、またEmotet、IcedIDへの対策として、製品・サービスを多くの顧客に利用してもらえるようにさらなる機能拡張を図っていく。また、今後も顧客により安全な運用方法などを啓蒙していく考え。
以前から、添付ファイルのZip暗号化(PPAP)はセキュリティ上あまり効果がないといわれてきたが、11月17日に平井デジタル改革担当大臣が11月26日から霞が関での利用を廃止すると会見で明らかにしたことで、さらに注目が集まっている。
同社では、Zip暗号化の問題点について、(1)暗号化した添付ファイルとパスワードを同一経路で送信している、(2)ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない――の2点を挙げている。
まず、暗号化したファイルをメールに添付して送り、同一経路で後追いパスワードを受信者に伝えることは、その経路上を第三者に盗聴されていたとしたら、添付ファイルにパスワードを掛けていたとしてもパスワードまで傍受されるため暗号化の意味がない。
また、猛威を振るうEmotet(エモテット)、新たに報告されているIcedID(アイスド アイディー)などのマルウェア(ウイルス)は、ファイルを暗号化しメール添付で送られてくるため、一般のセキュリティソフトでは検出が困難で、ウイルスチェックやサンドボックスチェックをすり抜けてしまうとしている。
Zip暗号化の代替手段としては、さまざまな方法が提案されているが、受信者側のセキュリティ性を担保しつつ同時に送信者の利便性も維持することを念頭に置くと、どの手段も現状では完全な解決策といえるものではなく、いくつか懸念される点もある。
こうした状況を受け、同社製品・サービスを利用中の顧客、また利用を検討中の顧客には、Zip暗号化の代替手段として3つの対処方法を推奨している。
一つは、同社のメール誤送信防止製品・サービス「Active!gate」「Active!gate SS」に標準搭載されている「添付ファイルWebダウンロード機能」を利用すること。添付ファイルWebダウンロード機能は、メール送信時に本文と添付ファイルを自動的に分離し、添付ファイルはメール本文に記載されたURLのウェブサーバー上からパスワードを利用してダウンロードする機能。ウェブサーバー上に分離されているファイルをユーザーは削除、またはダウンロードロックすることもでき、メールの一時保留機能と組み合わせることで誤送信対策レベルの維持・向上を実現する。ファイルのダウンロード期限を設ける、受信者のファイルダウンロードを確認したらサーバー上のファイルを削除するなどの運用をすることで、より安全に利用することができる。
二つ目は、「パスワードをヒントで伝える」こと。Active!gate、Active!gate SSには「添付ファイルの暗号化機能」と「添付ファイルWebダウンロード機能」が標準で搭載されているが、いずれも受信者側がファイルを取得するためのパスワードを設定することになる。そのパスワードの通知方法にはいくつか設定があるなかで、同社は「パスワードをヒントで伝える」設定を推奨している。
前述した理由によりメール送信経路が盗聴されているのであれば、同一経路で暗号化されたファイルとパスワードを送っても、金庫と金庫のカギを取得されてしまえば中身は盗まれたも同然。そこで、「以前伝えた12桁のパスワードです」などの送信者と受信者しかわからない文字列をパスワードに設定し、そのヒントだけを相手に伝えるという手段がある。とくに、Active!gate、Active!gate SSにはパスワードの通知方法を「ヒントで教える」に強制させる管理者設定もあり、ユーザーはパスワードを手動で設定した後ヒントでしか通知できないようにする運用を実現可能。それ以外には、別経路で送信するなどの対処をして利用するようにしてほしいとしている。
三つ目は、「Zip暗号化ファイルの検知」を行うこと。前述したようにインターネットを行き交うメールはまだすべての経路が暗号化されているわけではなく、平文の状態で送受信されるケースが多く見受けられる。そのため、インターネットに接続しているすべてのメールサーバーが送受信ともにSTARTTLSなどの暗号化通信に対応するまでは、盗聴防止という観点ではZip暗号化という手段はセキュリティ的に有効であると同社では考えている。
一方で、受信者の側からするとEmotet、IcedIDなどに見られる悪意あるZip暗号化ファイルの検疫は、入り口対策として実現しなければならない。そうした考えの顧客には、同社の標的型メール攻撃対策製品「Active!zone×サンドボックス」の利用を推奨している。Active!zone×サンドボックスを利用することで、パスワード付きZipファイルの中身まで検知できるようになるため、一般的なセキュリティ製品では対処が困難なEmotetやIcedIDにも効果を発揮する。
同社では、Zip暗号化の代替手段として、またEmotet、IcedIDへの対策として、製品・サービスを多くの顧客に利用してもらえるようにさらなる機能拡張を図っていく。また、今後も顧客により安全な運用方法などを啓蒙していく考え。
- 1
関連記事
沖縄県名護市役所が「Active!zone」「DEEPMail」導入、クオリティアが提供
Active!zone×サンドボックスがEmotetを検知・ブロック、クオリティアから
クオリティア、ソレキアが「Active!gate SS」「Active!vault SS」導入
外部リンク
クオリティア=https://www.qualitia.co.jp/
「Active!gate」=https://www.qualitia.co.jp/product/ag/
