廃止の動きが目立つ「パスワード付きファイル」
2020年11月、デジタル改革担当の平井卓也大臣が定例会見で、中央省庁における「パスワード付きファイル」のメール送信を廃止する方針を発表しました。その翌日には、クラウド会計サービスを提供する企業も、2020年12月からこの形式のファイルの受信を、原則的に停止するというニュースリリースを出しています
ここで言う「パスワード付きファイル」は、ZIP形式などで圧縮・暗号化したファイルのことです。もちろん、これ自体に問題はありませんが、ファイルを添付したメールを送信し、復号化に必要なパスワードを別便のメールで送る方法の是非が問われているのです。
この方式に関する議論は以前からありましたが、平井大臣の会見後、また最近はSNSなどで、数年前のコミカルなヒット曲の略称になぞらえた「PPAP」(Password付きZIPファイルを送信→Passwordを送信→A(あ)んごうか→Protocol)という造語が行き交ったこともあってか、パスワード付きファイルの効果を問う声が大きくなってきたように感じます。
パスワード付きファイル送信の問題点、そしてこの議論の本質はどこにあるのでしょうか?
目的は盗聴の防止と誤送信対策
パスワード付きファイルが使われる目的は、盗聴防止と誤送信対策の2点に大別できます。前者はファイルを暗号化してあれば、通信経路で傍受されたとしても情報の流出は阻止できること。誤送信対策は、メールを添付ファイルとパスワード通知の2通に分けるため、どちらか一方の宛先を間違えても、ファイルの内容は保護できるというものです。
一方、このやり方を疑問視する声ですが、盗聴防止と誤送信対策は、あまり効果が期待できないという点と、もう一つはマルウェア対策。加えて、利用者にかかるメールを扱う際の負担が挙げられます。いろいろな意見は出ていますが、このあたりに集約されると考えていいでしょう。
次に課題とされる点をもう少し整理し、その理由の検証と代替策との比較を考えてみましょう。
パスワード付きファイルの効力が低下した理由は?
まず盗聴防止の効果ですが、ファイルとパスワード通知のメールを同じ経路で流すため、ファイルが傍受されるとパスワードを含むメールも読まれるリスクは高いとする指摘です。この点は確かに、パスワード付きファイルの弱点の一つと言えます。2通のメールを一定の時間を空けて送信すればリスクは下がるとしても、あまり現実的な方法ではないでしょう。
より安全な方法はルートの分離です。ファイルを送った後、パスワードは携帯電話のショートメッセージや音声などで伝える方法が考えられますが、このやり方は利用者の作業負担が増すことは自明です。
次に、誤送信対策の効果が薄いとする理由ですが、添付ファイルとパスワード通知を同じ宛先に出す場合、アドレス入力や指定をミスするとしたら双方で、どちらか1通だけを間違うケースは少ない、だから決定打にはならない、とする見方です。その傾向はあるとしても、メールシステムの仕様の問題というより、最終的には利用者の注意力に依存する話でしょう。
こうした点から、パスワード付きファイルの盗聴防止と誤送信対策の強度には限界があるとしても、一定の効果は期待でき、今のところは決定的な代替策の提示も難しいと言えそうです。
マルウェアの攻撃には無力か?
マルウェア対策の課題は、暗号化されたファイルに対しては、ウイルス対策ソフトの機能が働かない点です。ファイルの中にマルウェアが含まれていても、プログラムの形式や動作を検証する一般のウイルス対策ソフトでは、不正なプログラムを検知できません。
ただ、この点もメールシステムの仕様というより、問題の本質は企業のセキュリティシステムの運用体制にあると言っていいでしょう。
冒頭で触れたクラウド会計を提供する企業は、パスワード付きファイルの受信を停止する理由の一つとして、ZIPで圧縮・暗号化されたWordファイルを隠れ蓑にするEmotet(エモテット)というマルウェアの蔓延を挙げています。確かにこの形のファイルが狙われるケースは多いとしても、悪いのはファイルの形式よりEmotetの方です。Emotetは、多くの企業で常用されているパスワード付きファイルに便乗しただけで、他の方法が一般化すれば、そこにターゲットを合わせてくるでしょう。
つまり、パスワード付きファイルを受信するとしても、オンラインストレージなどの手段で受取るとしても、マルウェアへの対策は、“外部から受信したファイルは安易に開かない”、“少しでも疑問が残るファイルはウイルス対策ソフトでスキャンする”という基本ルールを実行するかどうか。エンドポイントのセキュリティシステムの運用方法と、一人ひとりの心構えの問題ではないでしょうか。
代替案は暗号化メールとオンラインストレージ
パスワード付きファイルの安全性を高めるには、まず前述したパスワードを別の経路で送る方法があります。パスワード付きファイルに代わる方法を選ぶとしたら、候補の一つは、暗号化とユーザー認証の角度から電子メールの運用の安全性を上げるプロトコルです。
この分野では、PGP(Pretty Good Privacy)とS/MIME(Secure Multipurpose Internet Mail Extension)がよく知られていますが、ソフトウェアの実装などの準備が必要なため、同じ組織内や企業グループなど、合意が取れている相手以外とのやり取りは難しいと考えた方がいいでしょう。
S/MIMEの機能(出典:GMOグローバルサイン)
メール以外の選択肢なら、オンラインストレージです。通信経路はTLSというセキュアなプロトコルで保護されていて、URLを通知する相手のアドレスを間違えても、すぐにファイルをクローズの状態にできます。事業者側のシステム障害や盗み見の可能性はゼロではありませんが、万一に備えるならファイルを暗号化することです。この場合、ファイルの転送とパスワード通知のメールは同一経路にはなりませんから、盗聴のリスクは低いでしょう。
一方、オンラインストレージの弱点は汎用性です。今のところ、相手を選ばず、細かな説明抜きで指定できるようなサービスはありません。利用方法と利用規約は、事業者ごとに少しずつ違いますから、こちらも事前に合意した人同士の通信手段と言えます。
利用状況を考慮しベターな選択を
中央省庁における廃止のニュースが出て以来、パスワード付きファイルの課題を指摘する声が高まっていますが、安易に廃止してしまうと、セキュリティリスクを高めてしまうことになりかねません。代替策を使うとしても、ファイルをやり取りする相手、頻度、コストなどを加味した慎重な判断と準備が求められます。
ここまでは課題をクローズアップしてきましたが、パスワード付きファイルには、もちろんメリットもあります。まず利用時の負担が少ない点です。ZIP形式の暗号化は、Windowsの標準機能だけではできませんが、フリーソフトを含めほとんどのアーカイブソフト(複数ファイルの集約・暗号化などができるソフト)が対応していますので、送信側に大きな手間とコストはかかりません。受信側も特別な準備は不要で、パスワードを入手できればその場でファイルの内容を確認できます。
セキュリティの強度では課題が残るとしても、送信先の環境を選ばず、金銭的な負担もかけない点を優先するなら、パスワード付きファイルを使い続けた方がいいでしょう。また以前は、送信時に暗号化とパスワード通知をする際の手間がネックとされていましたが、企業向けのメールセキュリティ製品には、暗号化と通知を自動化する機能も備わっています。
多層的な視点からメールの運用を保護
メールを発端とする情報漏えいなどのインシデントは、システムの仕様や運用方法以前に、一人ひとりの不注意が原因となっているケースが多いのが実情です。
パスワード付きファイルを使い続けるとしても、他の方法へ移行するにしても、何らかの形でメールの運用は継続すると思いますが、メールセキュリティに対する基本は変わりません。「送信」をクリックする前に、アドレスをもう一度確かめる、添付したファイルの取り違えはないかチェックする、エンドポイントでのウイルスチェックは怠らないなど、常に基本を反復することです。
セキュリティ対策のもう一つのポイントは、システムの運用を多層的な視点からガードすることです。メールの運用では、誤送信対策や添付ファイルの自動暗号化、ウイルスチェックはもちろん、アドレスの誤記などに備えた送信の一時保留、送信ログの保存、本文やファイルから慎重に扱うべき個人情報を検索する機能など、多層的にチェックする体制が有効です。
多層的なメールセキュリティのイメージ
メールセキュリティに少しでも不安を覚えることがあれば、このような機能を備えたソリューションの導入を検討してもいいでしょう。