昨年、弊社ブログでは多くの日本企業で慣習化しているファイル共有方法「PPAP」について取り上げました(PPAPの定義やデメリットについてはこちらを参照)。それから約1年、PPAPがセキュリティ対策として不十分であることが各方面から以前にも増して指摘されるようになり、それに変わってクラウドストレージが導入され始めています。
以下ではPPAPをめぐる昨今の動きと指摘されている問題点を説明し、代替案としてのクラウドストレージについてもご紹介いたします。
PPAPをめぐる昨今の動き
PPAPの問題点は以前から指摘されていましたが、この1年でさらに大きな動きがありました。その中でも注目すべきなのが官公庁の方針転換です。
文部科学省は「脱PPAP」
文部科学省は2021年12月1日に、2022年1月4日以降すべてのメール送受信において、ファイルを添付する際にはクラウドストレージサービスに添付ファイルを自動保存し、送信先からダウンロードする仕組みを導入すると発表しました。その理由として「昨今セキュリティ上の観点から疑問視されているパスワード付きZIPファイルの添付により、Emotet(エモテット)などのマルウェアがセキュリティチェックを潜り抜け、感染させるなどの事案を踏まえ、セキュリティ強化策として導入する」としています。
内閣府、内閣官房ではすでに2020年11月にPPAPは廃止されていましたが、こうした政府のセキュリティ上の方針変換は民間企業にも影響を与えていくものと思われます。
増加する新種のマルウェア攻撃
文部科学省がPPAPの廃止発表に際して理由として挙げたのがマルウェア攻撃です。特に同省が具体名を挙げていた「Emotet(エモテット)」は2014年に初めて検出されましたが、2019年から国内でも感染被害が相次いでいます。
JPCERTコーディネーションセンターが2020年2月に発表した報告によると、Emotetに感染した国内の組織は少なくとも約3,200に上り、被害組織の中には公立大学法人首都大学東京(18,843件のメール情報が流出)、NTT西日本(顧客メールアドレスを含む、1343件のメールアドレスが流出)、関西電力(社外関係者のものを含む、計3,418件のメールアドレスが流出)など周到なセキュリティ対策をしているはずの大企業が含まれています。
2020年2月以降、Emotetの動きはおさまったかに見えましたが、2020年7月ごろから活動を再開している傾向が見られ、2021年11月にはIPA(情報処理推進機構)からEmotetの攻撃活動再開の兆候が確認されたとの発表がありました。
Emotet(エモテット)の特徴とは?
文部科学省までを方針転換に追い込んだEmotetの特徴は非常に高い感染力と拡散力、そして巧妙に偽装されているためにその危険性を見抜くのが難しい点にあります。
Emotetによって偽装されたメールには、マルウェアをダウンロードさせるマクロが仕組まれたWordやExcelファイルが添付されています。そのファイルを開いて「編集を有効にする」や「コンテンツの有効化」ボタンをクリックすると仕組まれたマクロが作動し、メールアドレスやメール本文などを盗み出すというわけです。送られてくるファイル名は「会議招集通知」など普段の業務で頻繁に使用する名称であるため、危険性を見抜くのは困難です。一度感染すると、社内メンバーや取引先にも感染が拡大するようになっており、被害はますます広がっていくのです。
PPAPの意義は?指摘される問題点
文部科学省が懸念したのは、PPAPのパスワード付きZIPファイル添付で送る方法ではマルウェア感染していても検出できない可能性があるという点でした。以下では改めてPPAPの指摘されている問題点を検証してみたいと思います。
指摘される問題点
弊社ブログ記事でも指摘したようにPPAPの一つの問題点はパスワード付きZIPファイルと解凍のためのパスワードを別々に送っても、第三者がどちらかを入手できたのであれば両方取得できる可能性が高い点であり、それが容易であることは実験によっても検証されています。
また、仮に第三者がパスワードを取得できず、ZIPファイルのみを入手したとしましょう。PPAPはその場合「第三者はZIPファイルを開けないため安全」という大前提に立っていますが、果たしてそうでしょうか?実は高速演算処理が可能なコンピュータを使えば、そんなに時間をかけずにパスワードを解析することが可能だといわれています。
情報セキュリティメーカーのデジタルアーツ株式会社が一般購入可能なパソコン、オープンソースで誰でも入手可能なパスワード回復ツールを使用して分析(パスワード検索速度は約10億回/秒)を行ったところ、驚くべきことに英小文字6桁の組み合わせであれば1秒未満で解読可能、8桁に増やしても20秒で解読されてしまうことが明らかになりました。英小文字、英大文字、数字を組み合わせた8桁のパスワードではやや時間がかかりますが、それでも最長で約2日のうちに解読されてしまいます。
これはあくまでも一般購入なパソコンでの話であり、専門のハッカー集団であれば、複数のPCを同時に使ったり、高性能なGPUなどを使用すれば計算や処理の速度を数百~数千倍に高めることも可能だといわれています。
つまりPPAPでは、マルウェア感染の危険性があるばかりか、ZIPファイルの中身もいとも簡単に盗まれる可能性も高いということになります。
他にもスマートフォン端末などではZIPファイルを閲覧するためには別途アプリケーションが必要になりテレワーク導入の障害になる点、多くの企業ではファイルのZIP化とパスワードの送信を自動で行っており、セキュリティ対策として意味をなしていないなど、PPAPについて指摘されている問題点には枚挙にいとまがありません。
代替案としてのクラウドストレージ
マルウェア感染対策には、一人一人がリテラシーを高め、身に覚えのない添付ファイルは開かないようにしたり、セキュリティソフトやOSを常に最新の状態にしたりすることが必要です。しかし、パスワードが読み取られたり、解析されるリスクも含めて考えると根本的な転換が必要であり、PPAPはすぐに廃止する必要があるといわざるを得ません。
企業として行える有効策の1つは文部科学省もPPAPに変わる代替案として導入したクラウドストレージへのシフトです。
使えるファイル箱なら手軽で安全
弊社のクラウドストレージサービス「使えるファイル箱」なら共有したいファイルのリンクを作成し、そのリンクとパスワードを別々の媒体(例えばリンクはEメール、パスワードはチャットツールなど)で相手に伝えることでPPAPの抱えるセキュリティリスクは解決できます。また使えるファイル箱は暗号化技術の中でも高い強度を誇るAES256ビット暗号化を使用していますし、2要素認証設定も可能です。
このように非常に高いセキュリティレベルを有しているにもかかわらず、導入のために専用のインターフェイスは必要とせず、WindowsならExplorer、MacならFinderで共有フォルダを扱えるので、使い慣れた方法ですぐに使用可能です。
メールやスマホでファイルをすぐに同期・共有
スマートフォンなどモバイル端末でも、PPAPでファイルをやり取りするときのような専用のアプリは必要ありません。テレワークや現場でのやりとりもファイルをタイムレスにすぐに同期・共有ができます。
ユーザー数は100人でも1,000人でも料金は一律、アカウントが増えても別途課金されることはありません。デフォルトで大容量の1TB、月単価10,780円(税込)から導入可能、無料トライアルも実施していますので、まずはお気軽にお問い合わせください。
「使えるファイル箱」の詳細はこちら>>
無料通話:0120-961-166
(営業時間:10:00-17:00)
.png)
.jpg)
.png)
コントロールパネルログイン