サイト内の現在位置

パスワード付きzip PPAP 問題について

NECセキュリティブログ

2021年1月8日

セキュリティ技術センターの宇井です。
今回はメールでファイルを共有する際によく用いられているパスワード付きzipの問題について取り上げていきたいと思います。

パスワード付きzip(PPAP)の危険性

ファイルを共有する際にパスワード付きzipファイルをメールで送信し、あとからメールでパスワードを送信するという方法は現在もよくつかわれている方法なのではないでしょうか。実際に私もこの方法でファイルを共有したこともありますし、周りで使っている人を今もよく見かけます。しかしこの方法はセキュリティ面で多くの問題があります。
皮肉をこめてかPPAPと呼ばれることがあります。(ピ〇太郎のことではありません。)

図1:PPAPとはPDF[1]

さて、この方法でファイルを共有することの何が危ないのか見ていきましょう。

zipの暗号強度

zipの暗号化方式にはZipCryptoとAES-256という二つの方式があります。
暗号の強度はAES-256の方が高いのですが、幅広いOSで採用されているZipCryptoを使われることが多いです。
強度の低いZipCryptoを使用し、安易なパスワードを設定した場合、パスワードが攻撃者の手元になくても専用のツールを使うことで短い時間でパスワードを突破されてしまう可能性があります。

パスワード付きzipファイルとパスワードが同じ通信経路で送られている

パスワード付きzipファイルが攻撃者によって窃取された場合、同じ通信経路で送信しているパスワードも攻撃者に同様に窃取されてしまうことが予想できます。
そのためメール盗聴でzipファイルが流出した際のセキュリティ対策になっていません。
誤送信対策の目的としてパスワード付きzipを利用していたとしてもパスワード付きzipを自動で作成し送信するようなツールを利用している場合はその意味もなくなってしまします。

パスワード付きzipファイルを用いマルウェア対策製品を回避するマルウェアが存在する

通常、マルウェア対策製品がzipファイルをスキャンする場合、解凍しスキャンを実行しますが、パスワード付きzipの場合、マルウェア対策製品はzipファイルを解凍することができずパスワード付きzipファイルはスキャンを回避してしまう可能性があります。
IPAによると、2020年9月以降パスワード付きzipを用いた「Emotet」の事例が観測されているようです。

図2:パスワード付きzipファイルが添付された攻撃メールの例new window[2]

このような攻撃の増加を受けて、CISAの注意喚起ではマルウェア対策ソフトでスキャンできないzipファイルをブロックすることを推奨しています。

図3:CISAの注意喚起new window[3]

最近の日本の動き

日本政府や民間企業にはパスワード付きzipの文化が根強く残っているといわれています。
2020年11月17日の定例会見で平井デジタル担当大臣は中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きzipファイルを廃止する方針を明らかにしています。new window[4]

また、2020年11月24日の定例会見では「自動暗号化zipファイル」を26日に廃止することを発表し、パスワードを記載したメールを同一経路で送信することがセキュリティ上意味をなさないことも指摘しています。new window[5]

またプライバシーマーク制度を運営しているJIPDECからは平井大臣の会見を受けてか以下のような文章が2020年11月18日に公開されていました。

図4:JIPDECホームページnew window[6]

PPAPの代替策

PPAPの代替策を見ていきましょう。

1.クラウドストレージ上でファイルを共有する

メールにファイルを添付して共有するのではなく、クラウドストレージ上にファイルを保存して共有する方法です。この方法はアクセス権や有効期限など詳細な設定ができ安全にファイルを共有することが可能です。
しかし、新たに導入するとなるとコストや時間がかかるといった問題もあります。

2.強度の高いパスワードを設定しパスワード付きzipファイルとパスワードを別の通信経路(chatや電話など)で連絡する

この方法を用いればパスワードの盗聴のリスクが下がります。
また新しく環境を用意せずとも既存のシステムで実現できます。
しかしこの方法では図2で示したようなパスワード付きzipを悪用した攻撃の対策になりません。そのため別途、従業員に対する教育・訓練や、クライアントPC側でのマルウェア対策のような別レイヤーでの対策も必要になります。

組織にとって最善の方法を選択する

セキュリティ強度を考えるとクラウドストレージの導入が理想ですが全ての組織でそれができるわけではありません。
共有するファイルの種類、量、機密性、既存の組織のシステム、企業間の連携、導入コスト…など

組織の置かれている状況を洗い出し、評価したうえで最善の方法を導入するべきではないでしょうか。

おわりに

政府の会見で「パスワード付きzipの廃止」が明言されたことで今後民間企業でも同じような動きがあると思われます。今すぐパスワード付きzipを廃止してクラウドストレージサービスに切り替えるのが理想だとは思いますが、環境を導入するコストや、ファイルを共有する企業間の連携の部分で現実的ではありません。
また、クラウドストレージサービスに移行したところで、適切なアクセス権の設定や管理がされていなければ全く意味がありません。「パスワード付きzip廃止」というキーワードだけが取り上げられてしまいがちですが、忘れてはいけないのはあくまで安全にファイルを共有することが目的ということです。組織に合わせて最善の方法を選択していくべきではないでしょうか。

参考資料

執筆者プロフィール

宇井 哲也(うい てつや)
セキュリティ技術センター インテリジェンスチーム

インテリジェンスチームにてデータ分析業務を担当
好きな焼酎は芋
アルコールインジェクションに負けないよう日々鍛えている