ビジネスでよく活用されるものとして、資料やデータ等の機密情報をZIPファイル(圧縮ファイル)化しパスワードを保護を掛け、そのパスワードをメールで別送する、という手順があります。
この手順は長年利用されてきたものであり、万が一添付したZIPファイル単体が流出しても、パスワード保護を掛けている為安全、と思われています。
しかし、本当にそうでしょうか。
昨今、デジタル化が急激に進んで行く高度情報社会の中で、この手法は完全な「アナログ」であると言えます。
また、これを「PPAP」と表現され、大きな問題として取り扱われています。
Password付き暗号化ファイルを送信
Passwordを送信
Aん号化(暗号化)
Protocol(プロトコル)
暗号化ZIPファイルの危険性
ZIPファイルは元来、「複数のファイルを一つのZIPファイルへ圧縮し、ファイル総量の軽量化を図る技術」として開発されました。
このような技術は他にも、7Zip形式(.7z)やLZH形式(.lzh)、Linuxでよく利用されるtarコマンドでまとめたファイルをgzip形式で圧縮する「Gzip形式(.tar.gz)」があります。
そんな中でもzip圧縮はWindows標準機能として搭載されており、解凍・圧縮の容易さからスタンダードな手法として取り入れられてきました。
しかし、ZIPファイルの暗号化圧縮形式のメール送付については、以下のセキュリティ上の弱点があります。
総当たり攻撃で解読される可能性が非常に高い
通常のWebサービスとは異なり、ZIPファイル単体に「パスワード入力の試行回数制限」はありません。
これを言い換えれば、「時間の許す限り全てのパスワードの組み合わせを試すことが可能」ということになります。
これが「総当たり攻撃(ブルートフォースアタック)」に当たり、英数字をランダムで組み合わせた重複の無い解析を行われた場合、簡単なパスワードであればほぼ確実に解除されてしまいます。
他にも、「文字列や単語」をまとめた辞書を利用する「辞書攻撃(ディクショナリーアタック)」、条件を設定後可能な文字の組み合わせを全て試す「パスワード類推攻撃」でも解析が可能です。
家庭向けに利用されているPCでも解析は十分可能
昨今のITの進歩により、家庭向けのPCも以前と比べて遥かに高性能になっています。
これも言い換えれば、「数年前では解読処理に数か月掛かっていたものが、今は数日・数時間で終わる」ということになります。
また、パスワード解析を容易にする為のフリーソフトも存在し、元々は「パスワードを忘れた時の緊急手段」としてリリースされていますが、悪用することも可能です。
現在は6桁の英字のみのパスワードであれば、解読に掛かる時間は僅か1秒未満、8桁の英字のみでは20秒程度、英数字8桁の場合でも3分未満と、短時間で解読が可能となっています。これは1台の家庭用PCでの時間です。
特に重要なデータ程複雑なパスワードを掛けることがありますが、そのデータが悪質なクラッカーの手に渡ってしまった場合、「並列コンピューティング(複数台のコンピュータで一つの処理を並行して行う技術)」やさらに高性能なPCを使用され、簡単に解読されてしまいます。
同じ通信経路を使用している
スタンダードな手法では、パスワード付きZIPファイルをメールにて添付後、直後にパスワードメールを送信します。
これは、「ネットワーク」「メールアドレス」「メールサーバー」「端末」全てが同じである為、通信経路も同じということになります。
もし、第三者により通信が傍受されている場合、添付されているパスワード付きZIPファイルを傍受し、直後のパスワードメール文も傍受されることになります。
通信の傍受は難しいイメージを持たれ、「自分には無関係」と思われがちですが、それを簡単にするフリーソフトも数多くリリースされています。
通信経路を同じにするということは、同じメール内にパスワード書いても別メールにパスワードを書いても、結果として「無意味」な対策であることに変わりはありません。
誤送信するリスクがある
もし添付したメールを、間違った相手先に送信してしまった場合はどうなるでしょうか。
信頼できる相手先でも、そのデータを100%削除して頂けるとは限りません。
かと言って、わざわざ相手先まで出向いて謝罪、PCの中を見せてもらう、なんてことは他の問題に繋がりかねません。
メールで添付するリスクは、第三者からだけではなく、やり取りの間だけでも発生しているのです。
アンチウィルスソフトを回避するマルウェアが仕込まれる可能性がある
パスワード付きのZIPファイルは暗号化されている為、PCのOS側も暗号化を解除するまでは中身を検知することは出来ません。これはつまり、アンチウィルスソフトも同様に検知することは出来ません。
この方法を利用して、自身を「暗号化ZIPファイル」と偽装した強力なマルウェア「Emotet」がPC内に侵入、ウィルスに感染するという事例が多発しました。
これは、「パスワード付きZIPファイルは安全だ」と判断する思考を逆手に取った事例です。
また、前述した「通信経路の傍受」を利用し、添付しているパスワード付きZIPファイルを偽装したマルウェアに置き換えてPCに感染させることも可能です。
パスワード付きZIPファイルを利用することは、自社のデータ漏洩だけでなく、他社に対してもウィルス感染等の被害を与えてしまう可能性もあるのです。
間違った対策
Zipファイルの拡張子を変える
「Zipファイルで送ると傍受されるなら、拡張子を変えれば良い。」
そう考えるのは安直です。
確かに、zip拡張子を傍受の対象としている場合は有効かもしれません。
しかし、傍受する側の立場になって考えると効果がない事が分かります。
やり取りされるデータはzipファイル形式とは限りません。
前述した通り、圧縮ファイルの形式はlzh形式や7z形式、gz形式が存在します。
他にも、データであればCSV形式、Excel形式(.xlsx, .xls)、PDF形式(.pdf)等無数にあります。
どのデータが傍受したいデータか分からない状況で、「zip形式のみ」を絞り込むでしょうか。
答えは「いいえ」です。傍受する側は全てのデータを見ており、見逃さないような体制を整えています。
傍受したデータが悪意あるクラッカーの手に渡った場合、zip形式であると見抜かれてしまいます。
また、拡張子が異なっていても「これは本来は何の拡張子なのか」を判定するソフトウェアも存在します。
多少の効果はありますが、ほんの一部のみです。
これは「間違った対策」です。
暗号化Zipファイルを更に圧縮して暗号化する
作成したzip圧縮ファイルを、さらにzip圧縮し暗号化する方法があります。
これは二重暗号化となり、非常に強力に思えますが、結局解凍用パスワードを後から送信した場合は結果は同じです。
パスワードが分からない場合は、総当たり攻撃で単純計算で2倍の時間が掛かりますが、いつかは暗号化が解除されます。運が悪ければ、数秒で解除されることもあります。
この方法も効果はありますが、実用性に乏しいことに対して受け取り側からは不満が上がる可能性が高く、且つ効果がそこまで高くありません。
これも、「正しい対策」とは言えません。
不特定多数が利用可能なファイル転送サービスを使用する
不特定多数が利用可能なファイル転送サービスは、大変便利な反面、個人や法人問わず利用している為、複数のデータが混在しています。
これは、「一時的にファイルをサーバーへアップロードし、専用リンクを作成・パスワード保護を掛け、共有する」という形式を取っており、上述した対策よりも確かにリスクは低減されます。
しかし、一度しっかり考えてみましょう。
不特定多数が利用可能なファイル転送サービスは、ユーザー登録不要で利用出来るのが特徴です。
「誰でも」利用できるということは、機密情報を「誰でも」利用できるサーバーに保管することと同じです。
クラウドストレージは基本的にアカウント形式となっている為、そのアカウントに対してデータが保存されています。アカウントの所有者が許可しない限り、そのデータを覗き見することは出来ません。
そのサービスの信頼度が低い場合、データが保管されたサーバーが脆弱で、そこからデータが漏れる可能性もあります。
実際に、国内で運営していたとあるファイル転送サービスは、サーバーが海外にあり、情報が漏洩したことを隠蔽していたことが発覚し問題となりました。
他にも、不正なプログラムを内蔵したファイルがサーバーにアップロードされ続け、450万件以上の個人情報が漏洩した事例もあります。
機密性の低いサービスを利用し、情報漏洩が発覚した場合はサービス側の問題だけでなく、それを利用していた企業にも大きな影響があります。
これも、「正しい対策」とは言えません。
もし利用される場合は、後述する「P2P通信型のファイル転送サービス」を利用する、もしくは信頼性の高いベンダーが提供しているファイル転送サービス(アカウント登録が必要なもの)を利用しましょう。
すぐに出来る正しい対策
様々な問題がある暗号化ZIPファイルですが、ではどのように対策すれば良いのでしょうか。
クラウドストレージの導入・利用
クラウドストレージは、通常のNASやローカルのファイルサーバーとは異なり、「クラウド(ネットワーク上の環境)に設置されているストレージ」となっています。
代表的なものではMicrosoftが提供する「OneDrive」、Googleが提供する「Google Drive」、Dropbox社が提供する「Dropbox」が有名どころです。
それぞれアカウントが必要となりますが、最も簡単且つ管理がし易いものはMicrosoftの「OneDrive」ではないでしょうか。
Officeを導入している企業であれば、Microsoft 365を契約してサブスクリプションでOfficeを利用されている場合があります。
こちらであれば、OneDriveが1人あたり1TBまで利用可能ですので、「他社との共有用」としてルール付けし、利用後は速やかに削除する、といった運用を行えば、暗号化ZIPに頼ること無くファイルの共有が可能です。
また、アカウントの管理等も可能な為、情報システム部門にてファイル共有の管理も可能です。
OneDriveを含めたその他のクラウドストレージには、共有時に「パスワード」と「有効期限」を設定可能なサービスも多いです。
例えば、パスワードを送付先の携帯電話番号下4桁に設定後、有効期限を「3日後まで」と設定します。
相手は自身の電話番号下4桁を入力することでアクセス可能で、メール内には「あなたの携帯電話番号下4桁」と記しておけば、もし通信を傍受されていたとしてもパスワードまでは分かりません。
また、パスワード入力画面で総当たり攻撃がされたとしても、規定の回数以上間違って入力した場合はそのリンクは「無効」となります。
有効期限を設定することで、常に共有し続けてしまい不正にアクセスされるリスクを低減することも可能です。
このように、暗号化ZIPファイルには無い便利な機能を使うことが可能です。
ちなみに弊社イセヤマ、及びイセヤマグループでは、独自のクラウドストレージ「イセヤマクラウド」を開発し、社外でのファイル共有時に利用して頂いています。
P2P通信型のファイル転送サービスを使用する
P2P(peer-to-peer)通信とは、インターネット上の通信形態の一つで、前述したクラウドストレージはファイルをサーバーにアップロードし、それをクライアントに表示してダウンロードする形式ですが、こちらは端末同士を繋いで直接ファイルを送受信するものです。
簡単に言えば、クラウドストレージは「ここにファイル置いておくので見てください」といったスタンスであることに対し、P2P通信型のファイル転送サービスは「今からファイル送るので繋いでください」といったスタンスになります。
クラウドストレージは、相手の都合に併せて共有が出来るのに対し、P2P通信型のファイル転送サービスはリアルタイムでお互いが端末を起動・操作していないと共有が出来ません。
逆に言えば、メールやクラウドストレージと異なり「送信した履歴が残らない」というのも一つのメリットです。
使い方はサービスにもよりますが、事前に共有キーを設定、それを相手側に入力してもらうと転送が可能になります。
手軽な反面、企業の情報セキュリティとしては導入しにくいもので、履歴が残らないということは「誰がいつ何を送信したか」が明確になりにくい弱点もあります。
情報漏洩を防ぐ為、その場限りの共有と利用される場面は限られますが、運用ルールはしっかりと設けるべきでしょう。
まとめ
パスワード付きZIPファイルは、今までビジネスで長く利用されてきた分、新しい手順に抵抗が生まれやすいのも事実です。また、他の方法を知らない方々も大多数であり、企業としてもクラウドストレージを利用した際にデメリットを考慮すると、現状維持が良い、という場合も多々あります。
しかし、クラウドストレージを利用することで得られる恩恵は、パスワード付きZIPファイルを運用していくメリットとはかけ離れたものとなっています。
パスワード付きZIPファイル自体が危険というわけではなく、使い方に問題がある、ということです。
しっかりと学び、理解し、適切な運用を行っていくのが大切です。