ICT・オフィスファシリティ
2022.10.11
ICT・オフィスファシリティ
2020.12.28
パスワード付きZIPファイルは危険!
ICT・オフィスファシリティ
2020.12.28
パスワード付きZIPファイルは危険!
データを圧縮して容量を減らしたいときに利用される圧縮形式のZIP。皆さまもメールに添付して送るファイルの容量削減に利用されたことも多いのではないでしょうか。
また、ファイルを暗号化する手段のひとつとしても活用されており、パスワードで暗号化してメール添付する際にも利用されています。
しかし、今このパスワード付きZIPファイルは危険という声が高まっています。今回はパスワード付きZIPファイルの何が危険なのかご説明していきたいと思います!
なぜ暗号化するのか?
そもそも、なぜファイルを暗号化するのでしょうか?それは多くの場合、第三者には見られたくない秘匿性の高いファイルのためです。
送信する相手だけにきちんと届けば良いのですが、メールアドレスの入力間違いなどで誤送信してしまい、関係のない第三者にファイルが渡ってしまったときの対策として、暗号化しています。
さらに、メールが相手に届く間に通信を傍受され、情報漏洩してしまうリスクにも効果があるとされてきました。そのため、広く一般的に活用されています。
使い方は、パスワードで暗号化したZIPファイルを一通目のメールで送信し、続けて2通目のメールでパスワードを送信するという方法が使われています。
ファイルとパスワードを別々のメールで送ることで安全性を担保しています。
実はセキュリティ効果が薄い暗号化
衝撃的なことに、たくさんの人が活用しているパスワード付きZIPファイルの情報漏洩対策としての効果は薄いということが判明しています。
誤送信してもパスワードで暗号化しているから大丈夫!と思いきや、英数字で作られた10桁以下の簡単なパスワードは、数時間もあれば解読されてしまいます。
また、2通に分けて送ったメールも、両方とも同じ人に届いてしまえば無意味です。
そして、メールが届く前に通信を傍受するような悪意ある人は、続けて送られてくるパスワードが書かれたメールも傍受するため、これも無意味です。つまり、
- パスワードは解読されやすい
- 誤送信対策にならない
- 通信が傍受されればメールを分けても傍受される
このように、パスワード付きZIPファイルの情報漏洩対策としての効果は薄く、安全は守られていないのです。しかも、さらなる危険もはらんでいます。
ウィルススキャンできない危険
メールサーバーやUTMなど、メールの添付ファイルにあるウィルスを検知してくれるセキュリティ対策をおこなっていても、パスワード付きZIPファイルはウィルス検知ができません。そのため、この検知できない事を悪用しマルウェアEmotet(エモテット)が流行しています。
Emotetとは、過去に送受信した電子メールの情報を収集して「なりすましメール」を自動作成し実在の組織・人物になりすましてWord等のファイルを過去にやり取りのある他者へと送信し、拡散し続けるマルウェアです。
実在する相手からのメール、かつパスワード付きZIPファイルはウィルス検知をすり抜けるため、感染が拡大しています。
これらのことから、パスワード付きZIPファイルは、危険と言えるのです。
平井卓也・デジタル改革担当相も定例会見で、中央省庁の職員がメールを送るときに添付する「パスワード付きZIPファイル」を廃止すると発表しています。
代替手段はどうしたら良い?
パスワード付きZIPファイルをメールで送る方法からの代替手段は、オンラインストレージをオススメいたします。
オンラインストレージは、
- ギガを超える大容量ファイルも送れる
- 権限設定もできる
- パスワードも掛けられる
- メールで送らずとも取引先とフォルダ共有もできる
- 万一送信相手を間違えても、すぐに共有を停止できる
とパスワード付きZIPファイルの欠点を補うメリットがいっぱいです。
オンラインストレージにはフォルダ単位で共有するものや、ファイル送信に特化したものなど様々なサービスがありますので、自社の運用に合うサービスを選択するのがオススメです。
イーコネクションでは、初めてのオンラインストレージでも直感的に利用でき、企業向けに高いセキュリティが保たれたサービスをご紹介していますので、お気軽にご相談ください。
パスワード付きZIPファイルを安全に受け取る方法
自分がいかに気を付けようとも、マルウェアEmotetなど、不意に送られてくる場合があるので、受け取った場合の対策も必要です。先にご説明したようにメールサーバー、UTMではウィルス検知できません。
安全にファイルを受け取るには、エンドポイントセキュリティが有効です。
感染したファイルを展開しようとした瞬間にウィルス検知し、ファイルを削除して感染を防止してくれます。
Emotetは被害者になるだけでなく、加害者にもなってしまうため、対策をオススメいたします。エンドポイントセキュリティもイーコネクションは規模に関わらず導入実績がございますので、お気軽にご相談ください。
今回は以上となりますが、セキュリティ意識が低いなと思われないように、まずは自社から。パスワード付きZIPファイルを無くしていきましょう。
