ブログ

Googleドライブでセキュリティを高めよう 〜パスワード付き添付ファイル(PPAP)の脅威〜

社外の方とのファイルの受け渡しはどのように行なっていますか?
パスワード付きzipファイルで暗号化し、メールに添付して送信する、俗に「PPAP:Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」と呼ばれる方法を実施されている企業も多くいらっしゃるのではないでしょうか。

実はこの方法はセキュリティの観点からいうと、効果が無いと言われています。またこの方法を悪用した攻撃者まで現れています。本ブログではパスワード付き添付ファイルの脅威とGoogleドライブでセキュリティを高める方法をご紹介します。

パスワード付き添付ファイル暗号化(PPAP)の脅威

ファイルを外部に共有する際、各企業によって何かしらのルールが定められていることが多いかと思います。その中でも多くの日本企業に浸透しているのが、「パスワード付きzipファイル暗号化(PPAP)」です。

① 添付するファイルをパスワードを使って暗号化ZIPファイルにする。

② そのファイルをメール添付して送信

③ パスワードを記載した別メールを送信

実際に仕事をしていてもこの方法でファイル共有をしている企業が多く見られます。

この方式は一見セキュリティレベルを高めているように見えますが、実は効果がないと言われています。さらに、効果が無いばかりではなく受信者をセキュリティ事故の危険性に導いてしまう可能性もあります。

その理由をもう少し見てみましょう。

まず、攻撃者がターゲットにした企業のメールを盗聴していた場合、添付ファイルの付いた1通目、パスワードを記した2通目の両方が見られている可能性が高く、そもそも秘匿効果は薄いとされています。

また、職場でせっかくマルウェアフィルターのサービスを導入していたとしても、添付ファイルにパスワードがかかっていると、そのマルウェアフィルターをすり抜けてしまうそうです。せっかくの対策が無意味になってしまうとは恐ろしいですね。。

さらに恐ろしいのが標的型攻撃の手段として、添付ファイルを利用する攻撃が増えてきたことです。

今、日本企業をターゲットに猛威を振るう「Emotet(エモテット)」はご存知でしょうか。「Emotet(エモテット)」は2019年後半から相次いで被害が報告されており、その脅威はさらに増し続けています。

Emotetとは、強力な感染力・拡散力を持ったマルウェアです。主に情報の窃取や他のウイルスへの感染のために利用されます。Emotetは侵入した端末が送受信している過去のメールの情報を悪用します。そのため、あたかも実在する相手からメールが届いたように見え、不正なファイルを実行しやすくなり、多くの組織で注意喚起が発表されています。つい先日もトレンドマイクロの名前をかたり、アンケートを装った攻撃メールが発見されるという恐ろしいセキュリティ事故が発生しました。

そして最近、さらに“進化”したEmotetが発見されました。それが、「パスワード付きzipファイル」を使った攻撃です。届いたメールにはパスワード付きzipファイルが添付され、パスワードはメール本文中に記載されているそうです。

パスワード付きzipファイルは、攻撃に利用されると非常に悪質なものとなってしまいます。なぜかというと、これまでの「URL」などを利用した攻撃であれば、マルウェアフィルターによるセキュリティ対策が有効です。しかしパスワード付きzipファイルは符号化されているため、メールソフトのセキュリティ機能でスキャンできません。パスワード付きzipファイルの攻撃メールは、セキュリティ施策をすり抜けて、あなたの受信箱に届いてしまいます。

このメール、自分に届いたらマルウェアだと判断できるでしょうか。
私自身、全てのメールを見抜く自身はありません。
となると、今後はパスワード付きZipファイルを全てマルウェアとして扱うくらいの用心深さが必要になってきます。

いかがでしょうか。パスワード付きzipファイルは送信者にとってリスクは少ないかもしれませんが受信者は攻撃に晒されるリスクまで生まれてしまうのです。

これでもパスワード付きzipファイルはセキュリティレベルが高いと言えますでしょうか。パスワード付きzipファイルの利用をやめることが、結果的に自社やお客様、関係会社のセキュリティレベルを高めることに繋がると私は考えます。

Googleドライブでセキュリティを高めよう パスワード付き添付ファイル(PPAP)は辞められる?

ではファイルを送りたいときにどのような手段を利用すれば良いのでしょうか。今、急激に普及が進んでいるのがクラウドストレージサービスです。

クラウドストレージとは、データを格納するためインターネット上に設置されたスペースです。

クラウドストレージは多くの企業よりサービスが展開されていますが、その中でも現在最も注目されているのが、、 Google Workspace(旧名称 G Suite )のストレージ機能である「Googleドライブ」です。

Googleドライブに自分専用のファイル置き場である「マイドライブ」というスペースが出来るので、自分がアップロードまたは同期したファイルやフォルダ、自分が作成したGoogle ドキュメント、スプレッドシート、スライド、フォームを保存することができます。もちろんお客様からいただいた提案資料や見積書、動画ファイルなども保存できます。

また、保存したファイルには、スマートフォン、タブレット、パソコンのどれからでも簡単にアクセスして編集ができるので、会社や自宅、外出先や出張先などどこにいてもファイルを使用できるというのも嬉しいポイント。

テレワークが普及する中で接続場所を選ばない、ということは重要な観点になってきますね。

Googleドライブでセキュリティを高めよう パスワード付き添付ファイル(PPAP)の代わりに外部共有機能を使う

このGoogleドライブ、「ファイル保管」としての機能だけでなく、クラウド上に保存したファイルを安全に外部共有することが可能です。もちろんGoogleドライブに保管されたファイルは共有設定をしない限りは自分以外の誰もその情報を見ることができません。

この外部共有機能を利用することで、メールにパスワード付きzipファイルを添付して大切なファイルを共有する、というPPAP方式を撲滅することができます。

このように共有したいファイルを選択し、社内のメンバーやお客様、関係各社とファイル共有をすることができます。

さらに、必要に応じて「閲覧権限」だけでなく「編集権限」を与えることも可能です。お客様と同時に資料を編集することができるので、リアルタイムで状況を管理したい時などにも便利です。

ファイル共有の機能を利用することによって、

  • メール添付時の情報漏えいを防ぐことができる
  • 重い動画も共有可能

というメリットがあります。

Googleドライブでセキュリティを高めよう 外部共有の管理

この外部共有の機能を利用する際に1つだけ注意点があります。それは、「本当に必要なファイルが関係者にのみ共有されているのか」を管理者の方が把握する必要がある、ということです。

例えば特定の部署で管理している情報が他部署の社員に共有されてしまったり、社外秘のファイルを社外ドメインに共有してしまったり、個人のGmailアドレスに重要なファイルが共有されてしまうなど、共有されるべきではないファイルが共有されっぱなしになってしまうと、悪意のある攻撃者によってファイルが悪用されてしまう可能性もあります。

これではせっかくクラウドストレージを使ってもセキュリティレベルを高めることができません。

「いつ」「誰が」「どこの誰に」「どんなファイルを」共有しているのか、管理者の方が正確に把握することが重要になってきますね。

弊社では、ファイルの外部共有状況を管理するためのツールとして「Googleドライブ セキュリティ管理ツール DriveChecker(ドライブチェッカー)」というサービスを提供しています。

DriveChecker を利用すればファイル共有状況が一目で確認することができ、管理者権限で危険なファイルの共有を解除することも可能です。

このような管理ツールを取り入れることで、Googleドライブを更に便利に安全に使うことができます。Googleドライブを検討される際には、外部共有の管理方法についても併せてご検討ください。

Googleドライブでセキュリティを高めよう まとめ

パスワード付き添付ファイル(PPAP)の脅威とGoogleドライブでセキュリティを高める方法をご紹介しました。ご理解いただけましたでしょうか。

今日から、パスワード付き添付ファイルは解凍するのにも慎重になることでしょう。まずは本ブログを読んでいただいたあなたが、受信者の方に迷惑をかけないよう、パスワード付き添付ファイルの利用は辞め、クラウドストレージの利用を検討いただけると嬉しいです。

Googleドライブを利用される際はぜひ弊社にお問い合わせください^^

元記事発行日: 2020年10月27日、最終更新日: 2021年04月01日