報道各位
2020年12月23日
プレスリリース 
株式会社クオリティア                     
=================================================
        添付ファイルのZip暗号化(PPAP)への対処について       
=================================================
 以前より、添付ファイルのZip暗号化(PPAP)はセキュリティ上あまり効果がないと
言われてきましたが、11月17日に平井デジタル改革担当大臣が11月26日より霞が関での利用を廃止すると会見で明らかにしたことにより、一層注目されることとなりました。
会見後に当社にも多くのお問い合わせをいただいており、以下に当社の見解を示させて
いただきます。

●Zip暗号化の何が問題なのか?
元々は受信者側のメールストア容量の圧迫を回避するために添付ファイルを圧縮し送信する手法がエチケットとして定着していました。その後、インターネットの経路上を行き交う通信の中でHTTPは早くから暗号化されていましたが、SMTPというメールを配送するプロトコルの暗号化は進んできませんでした。そこでZip圧縮に加えてパスワードも設定する暗号化手法に注目が集まり、2012年には、ISMSやPマークを取得するうえで添付ファイルのパスワードによる暗号化が効果的であるという見解が示されたことから、このZip暗号化技術が広く一般的になっていきました。
にもかかわらず、Zip暗号化の何が問題だと指摘されているのでしょうか。
当社はその問題点を以下の2点だと考えます。

1. 暗号化した添付ファイルとパスワードを同一経路で送信している
暗号化したファイルをメールに添付して送り、同一経路で後追いパスワードを受信者に
伝えることは、その経路上を第三者に盗聴されていたとしたら添付ファイルにパスワー
ドを掛けていたとしてもパスワードまで傍受されるため暗号化の意味がありません。

2. ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができ
ない
猛威を振るうEmotet、新たに報告されているIcedIDなどのマルウェア(ウイルス)は、ファイルを暗号化しメール添付で送られてくるため、一般のセキュリティソフトでは検出が困難で、ウイルスチェックやサンドボックスチェックをすり抜けてしまいます。

●考えられる代替手段
1. STARTTLS、MTA-STS(TLS1.2以上)、DANEなどのメールサーバー間のセキュリティ対策を利用する
→送信者と受信者のEnd to Endの暗号化ではなく、また誤送信防止にはならない
→メールクラウドサービスを利用している場合、通信経路の暗号化はクラウド事業者の
対応可否に依存し、自分の意志で暗号化の有無を決めることができない

2. クラウドストレージを利用する
→URLとパスワードを同一経路で送るとZip暗号化と同じことになってしまう
→過去のメールから検索し、当時送付されてきたファイルを確認しようとしてもメール
とファイルが分かれているため、どのファイルが見つけたいものなのか分からない

3. S/MIME、PGPなどの電子署名と暗号化の仕組みを利用する
→証明書や鍵の管理が容易ではなく、またゲートウェイでのウイルスチェックができな

→利用可能なメールクライアントが限定され、送受信を行うには相手にも高度なナレッ
ジを求めることになる

4. チャットやSNSなどを利用する
→送信者、受信者ともに同一のアプリケーションを使用している必要があり汎用性が低

●当社製品・サービスでの対処について
当社製品・サービスをご利用中のお客様、またご利用を検討中のお客様にはZip暗号化
の代替手段として以下の対処方法を推奨します。

1. 「添付ファイルWebダウンロード機能」のご利用を推奨
当社のメール誤送信防止製品・サービスのActive! gate、Active! gate SSには「添付
ファイルWebダウンロード機能」を標準で搭載。メール送信時に本文と添付ファイルを自動的に分離し、添付ファイルはメール本文に記載されたURLのWebサーバー上からパスワードを利用してダウンロードする機能です。Webサーバー上に分離されているファイルをユーザーは削除、またはダウンロードロックすることもでき、メールの一時保留機能と組み合わせることで誤送信対策レベルの維持・向上を実現します。

2. 「パスワードをヒントで伝える」
メール送信経路が盗聴されているのであれば同一経路で暗号化されたファイルとパスワードを送っても、金庫と金庫のカギを取得されてしまえば中身は盗まれたも同然です。したがって、送信者と受信者しかわからない文字列をパスワードに設定し、そのヒントだけを相手に伝えるという手段があります。

3. Zip暗号化ファイルの検知について
インターネットを行き交うメールはまだまだすべての経路が暗号化されているわけではなく、平文の状態で送受信されるケースが多く見受けられます。したがって、インターネットに接続しているすべてのメールサーバーが送受信ともにSTARTTLSなどの暗号化通信に対応する日が来るまでは盗聴防止という観点ではZip暗号化という手段はセキュリティ的に有効であると当社は考えます。一方で受信者の側からするとEmotet、IcedIDなどに見られる悪意あるZip暗号化ファイルの検疫は入り口対策として実現しなければなりません。そのようなお考えのお客様には、当社の標的型メール攻撃対策製品「Active! zone × サンドボックス」を推奨します。パスワード付きZipファイルの中身まで検知でき、一般的なセキュリティ製品では対処が困難なEmotetやIcedIDにも効果を発揮します。

▽「急増するパスワード付きZipによるEmotetの攻撃メールを『Active! zone × サン
ドボックス』で検知・ブロック ~当社ユーザー様に着弾した攻撃メールと対処につい
て~」
 https://www.qualitia.co.jp/news/2020/10/13_1000.html

当社では、Zip暗号化の代替手段として、またEmotet、IcedIDへの対策として、製品・
サービスを多くのお客様にご利用いただけるようにさらなる機能拡張に努めてまいりま
す。また、お客様により安全な運用方法などを啓蒙していきたいと考えています。

■製品・サービスに関するお問合せ先
営業本部 フィールドセールス部
email: active@qualitia.co.jp
■報道関係者のお問い合わせ先
営業本部 マーケティング部 稲垣
email: press_pr@qualitia.co.jp