添付ファイルなんて平文で送っちゃえばいいじゃない?-反PPAPシリーズ-

2020年秋、当時のデジタル大臣である平井さんが大々的に発表したのが「霞が関、PPAPやめます」宣言でした。

www.youtube.com

ここから1年、メール製品を扱うSIer(JBSもその1社です)はさまざまな切り口でPPAP問題について検討を行ってきました。

この記事では検討事項の1つ「そもそも添付ファイルを平文で送るってそんなに悪いの?」についてお話させていただきます。

なぜ添付ファイルをパスワードZIP暗号化するようになったのか?~電子メールはじまりの時代~

2000年代、ビジネスで電子メールを使い始めた時代です。便利なツールであるため広く普及がありましたが、セキュリティ的には極めて問題がある状態でした。

問題その1. メールの配信経路が暗号化されていない

今となっては信じられないことですが、当時はメールサーバー間の通信が暗号化されず、平文でやり取りされるのが普通でした。また、誰でも簡単にメールサーバーを運営することが出来たので、通信経路が暗号化されていないメールサーバーが有象無象に存在する世界…。自分の送ったメールがどこの誰に盗聴されるか分かりません。

なお2021年現在の配信経路暗号化率は約90%となっています。(Google調査)

Email encryption in transit – Google Transparency Report

この数値は、Google環境 ⇔ 他メール環境のメール暗号化率なので、Google環境内(Google Workspace内)、Office 365内でやり取りされるメールを合わせると、世の中でやり取りされるメールの大半が暗号化された経路を通過している、と言ってもよいのではないでしょうか?

問題その2. ウイルススキャン機能がないメールサーバーもあった

今となっては信じられないことですが(2回目)、メールサーバーにメールのウイルススキャンを行う機能がないものも多かったのです。つまり、攻撃者は添付ファイルにウイルスをつけて受信者に直接攻撃できていました。このことから、メールに添付されているファイル = 危険!という認識が広まっていった時代でもありました。

パスワードZIP暗号化による解決

そこで当時の人は考えました。

「電子メールは危険だけど便利だ。使い続けたい。せめて添付ファイルだけでもパスワードをかけて保護しよう!」と。

実際、添付ファイルにパスワードをかけて送ることで、前述の問題2点に対してある程度対処が出来ます。

「問題その1. メールの配信経路が暗号化されていない」に対する対応

メールの配送経路が暗号化されていないのでメール本文が読まれるリスクはありますが、添付ファイルはパスワードがかかっているので解読されることはありません。数文字のパスワードであっても当時のコンピューターパワーでは解読が困難だったのもポイントです。

「問題その2. ウイルススキャン機能がないメールサーバーもあった 」に対する対応

メールに添付されているファイル = 危険! と認識されていた時代。それでは、添付ファイルをパスワードZIPで暗号化すれば…どうでしょう?攻撃してくる側がわざわざこんな手間をかけてくることはない = この添付ファイルは安全である!と受信者が安心してファイルを開くことが出来ますよね!

時は流れて…令和時代

2000年代→令和時代と20年の時が経ち、IT環境も大きく変わってきました。箇条書きにすると以下の5点です

  1. メールの配信経路はほぼ暗号化された
  2. メールサーバーは当然のようにウイルススキャン機能が付与されるようになった
  3. コンピューターパワーが上がり、数文字のパスワード付きZIPは簡単に解読できるようになった
  4. 攻撃者がパスワード付きZIPを逆手にとって、あえてパスワード付きZIPでウイルスを送ってくるようになった(例:Emotet)
  5. スマートフォンでメールを閲覧する機会が増え、パスワード付きZIPが利用の妨げになるようになった

1つづつ見ていきましょう。

メールセキュリティ環境の向上(1,2,4)

前述の通り、2021年現在のメール経路暗号化率は90%を超えています。大企業では大手SaaSベンダーのクラウドメールを利用していることが多く、これらのメール経路暗号化率は100%といっていいでしょう。よってパスワード付きZIPで添付ファイルを保護する必要はありません。また、メールサーバーにウイルススキャン機能が標準実装されたおかげで、添付ファイルをメールサーバーが読み取れる形(パスワード付きZIPではない形)で送ると、安全性をメールサーバーが保証してくれるようになりました。

むしろパスワード付きZIPファイルで添付ファイルを送信するとメールサーバーでウイルススキャン出来ないことを逆手に取ったウイルスが流行し

  • パスワード付きZIPファイルの方が素のファイルより危険
  • むしろ素のファイルで送信した方が安全だ

という認識が少しづつ広がっていってる最中ではないでしょうか?

コンピューターパワーの向上(3)

2000年代は今と比べてコンピューターパワーがなく、パスワード付きZIP暗号化ファイルを個人のPCで解読する事は不可能でした。しかし、今となっては数文字のパスワードは簡単に解読することが出来るので「今日の日付の8桁が添付ファイルのパスワードです」なーんてやったファイルは平文で送信しているのと同じと思ってもいいでしょう。むしろメールサーバーでスキャンできない分、平文のファイルよりも悪くなってますよね。

ただし!全てのパスワード付きZIP暗号化ファイルが簡単に解読できるわけではありません。これに関しては長くなるので、別記事で検討していければと思います。

働き方改革の文脈で、パスワード付きZIPが足かせに(5)

「うわ~!パスワード付きZIPファイルだから出先のiPhoneでファイル見れないや!」一般ユーザー視点で分かりやすく不便なのはこれじゃないでしょうか?せっかく社員にスマートフォンを貸与してメールを見れるようにしているのに、添付ファイルが見れずにパソコンを開かなければいけない、なんて意味ないですよね。

あれ?それじゃパスワード付きZIPを代替するシステムなんて不要?

ここまで読まれた方は「なるほど!じゃあ添付ファイルは普通に送っていいんだな!今のPPAP運用、システムをやめちゃおう!」と思われるでしょう。それも1つの選択肢だと思います。

けど、その決定をする前に。ファイルを平文で送ることのデメリットも確認した方が良いのではないでしょうか?

次回の記事では「平文でファイルを送付する危険性はどれだけあるのか?」について検討していきたいと思います。

宣伝:PPAP対応:新しい形のファイル送信ツール"metis fiebie"のご紹介

JBSではお客様の脱PPAP対応を支援すべく、新しい形のファイル送信ツール"metis fiebie"をお勧めしております。

metis fiebie - ファイル送受信のストレスを、ゼロに。| JBS 日本ビジネスシステムズ株式会社

脱PPAPにお悩みの方、Microsoft 365を利用しているが、もっと便利に、もっとセキュアに添付ファイルをやり取りしたいお客様は、是非ご検討ください。

投稿者プロフィール
寺田 敬佑

寺田 敬佑

クラウドマネージドサービス本部 所属。Microsoft 365 導入エンジニアとしてキャリアを重ねたのち、現在は JBS の Microsoft 365 系サービス/プロダクトマネージャーとしてサービス開発指揮を執る。

執筆記事一覧