ブログ

PPAP と メール と 添付ファイル の話

2020年1月27日

「PPAP」って言うと、少し前に大流行した “果物と筆記用具” の唄。
・・・ですね。

 

でも、今「PPAP」っていうと、ちょっと違うようです。

 

Ｐ：パスワード付ZIP暗号化ファイルを送ります。
Ｐ：passwordを送ります。
Ａ：Aん号化
Ｐ：protocol
・・・のことです。

 

これは、電子メールの添付ファイル(添付した文書)を送る際に最近のセキュリティ的な「お作法」として広く定着している方法ですね。

 

記憶を辿ると、きっと「個人情報を保護しよう」というセキュリティのキーワードが広がり始めた10数年前に、電子メールで添付ファイルを送信する際に、添付ファイルの情報をセキュアに相手に送ることを考えて行われるようになったと思います。

 

その後、同様にセキュリティの観点で…

• メール誤送信対策として
• メールの一時保留や上司(又は第三者)の承認手段として

電子メールと添付ファイルを送信する「作法」として一般化しました。

 

メール送信者側も、この方法にすることでセキュリティの意識を高めインターネットの中を、平文のバケツリレー方式で配送されるメールで重要な情報や個人情報が含まれるデータを安全に相手に送信する方法と信じて実施されてきました。

 

どうしてパスワード暗号化したファイルは安全なのか？
それは、平文でバケツリレーされるメールだと、途中で盗聴･傍受された時に、簡単に中身を読まれてしまうから。そんな行為で添付ファイルの中身を見られて漏えいしたら大変だから！！
・・・ってことだと思います。

 

ま、確かにそうかもしれません。

 

でも、その後に続くメール本文で「パスワード情報・パスワード文字列」を送信していたら、それも盗聴・傍受されていたら意味あるの？
・・そんな言い方もありました。

 

でしょ？　そうですよね。

 

でも、まぁ、実際には、比較的手軽に暗号化する仕組みも普及しはじめてメール誤送信の対策にもなる ことから、なんとなくセキュリティ向上の手段として一般化したと思います。

 

しかし、最近は、これも違った角度で見直しを求められてきました。

 

• ランサムウェアなどのマルウエアを、メール添付のファイルを開かせる(実行させる)ことで感染させる攻撃
• 標的型攻撃の手段として、添付ファイルを使うのが増えてきた。

 

こういう攻撃手法に対抗するため、メールを受信する側では、添付ファイルの中身を検査する運用を実施しています。
アンチウイルスの仕組みを使った検査もあれば、仮想的な環境で添付ファイルを開いて(実行して)、不正なプログラムが実行されることが無いか確認する。などです。

 

でも、パスワードでZIP化されたファイルだと、この仕組みでは少なくとも自動的に検査するのは無理です。
パスワードによって解凍しないと、元のファイルとして処理出来ないから。

 

その結果、メール受信者となる人。そして、その添付ファイルを保存して暗号化を解き、平文として実行する端末へ確実にファイルが届くようになりました。
つまり、不正プログラムが仕込まれた不正(悪性)な電子ファイルかどうかをメールが届く前までに検査する仕組みを採用にしているのに確認が出来ない…という状態になってしまったのです。

 

これでは、せっかく高額な仕組みをメール受信経路に配置しておいても実質効果が発揮できない仕組みとなってしまいます。

 

もちろん、受信するメールの全てがパスワード付ZIP暗号化ファイルでは無いだろうし、むしろ、平文の添付ファイルについては、ちゃんと検査も出来るでしょう。ある一定のセキュリティは確保されるとは思います。

 

しかし、攻撃者が作る添付ファイルの進化は、表面的な想像を超えて暗号化された形や、実行ファイル形式の拡張子に変更した形など網を潜り抜けるための工夫がおこなれていると言われます。

 

標的型メール攻撃と呼ばれる最近の攻撃では、メール本文に記載したURLへの誘導でマルウエアをダウンロードさせるサイトへのアクセスを促す方法と、メールの添付ファイルを開かせ(実行)させる方法があると言われています。

 

この後者の方法での被害は、日々増えており、また、端末の中でファイルを開くことで実行させる埋め込みプログラムは、確実にその端末の中の状態に合わせて感染させることが出来るため攻撃者からすると非常に簡単に攻撃を実行することが出来る手段となります。

 

このような状況を改善するために、

• 標的型メール攻撃の訓練で、メール受信者に危機感を持ってもらう
• E-ラーニングなどで、添付ファイルを開かない知見を学んでもらう
• “怪しい”添付ファイル、”心当たりのない”添付ファイルは開かないと通達する

などで、認知とリテラシー向上にも期待してコストもかけて取り組むことが増えました。

 

しかし、攻撃者もそれを想定し、

• 受信者が”開きたくなるようなファイル名”を送り付ける
• ソーシャルハッキングと組み合わせて”ファイルを開く動機”を相手に意識させておいてから悪性ファイルを送り付ける

などで機械での自動判断では無く、人間の操作を想定した攻撃を組合わせ攻撃してくるようになったと言われています。

 

 

そういう背景もあり
「メールの添付ファイルをパスワード付ZIP暗号化ファイルで送信するのはもうやめろ！」っていう事になってきました。

 

また、そういうセキュリティの側面だけでは無く、メールを受信した際にファイルを開いて中身を見る端末の変化も関係していると思います。

 

働き方改革…という言葉により、当然と思われていた「勤務先の机の上のパソコンで仕事する行為」が、屋外で！自宅で！移動中の交通機関の中で！と様々な場所で仕事を行う環境になってきています。

 

そうなると、実際に勤務先以外の外部で操作する端末や、その端末の大きさやＯＳ、アプリについても多様化するようになりました。
結果、例えば、iPhoneなどのような小型の端末でメールを閲覧したり添付ファイルを見ようとすることがありますが、パスワード付ZIP暗号化ファイルを受信しても、簡単にファイルを解凍して開くことは出来ません。
むしろ、かなり大変です。

 

さらに言うと、モバイル環境で添付ファイルを”添付された”メールを受信するためには、パケットも消費します。会社支給のルータなど持っていたらまだ良いですが、テザリングだったりしたら、そのパケットも
意図せず消費してしまうことにもなります。＿|￣|○

 

なんのために、外部でメールを見て、添付されたファイルを開くのか。
働き方改革で、、、業務効率向上のために、、、にも関わらずそれを逆行することにもなりかねません。

 

今となっては、メール添付ファイルが、パスワード付ZIP暗号化ファイルになってることが、色々と都合が悪くなってきたのです。

 

では、どうする？

 

『メールにファイルを添付して、さらにパスワード付ZIP暗号化ファイルを添付して相手に送るのをやめよう！』という声が増え、働きかけをする動きになってきたようです。

 

でも、電子メールが基幹業務のツールとして広く当然の仕組みとして活用されている状態で、いきなりメールをやめよう！ってのも難しいです。
そして、電子メールは、今も、電子データ・電子ファイルを届ける手段として仕組み含めて認知も操作も「多くの人が使う」方法です。

 

では、どうする？

 

弊社(スワットブレインズ)では、2019年の12月末に、この課題に対して工夫をしてみました。

 

弊社から送信される電子メールに、添付ファイルを付けて送る場合は、その電子ファイルを、原則的に全て「オンラインダウンロードサーバ」に格納し、メールには、ダウンロードすることが出来る ワンタイムＵＲＬ をメールの先頭部分に追記した形で届ける。メールを受け取った人は、そのメールに記載された、オンラインダウンロードサーバにアクセスしワンタイムＵＲＬを指定した上で、そのサイトに保存されたファイルを自分の端末にダウンロードして受け取ってもらう。

 

…という流れに変えました。

 

実施したから約１カ月が経過しましたが、今のところ”苦情・クレーム”は幸いにもありません。

 

課題にとしては、

• メール受信者の環境から、オンラインダウンロードサイトへのWebアクセスが制限されていてファイルが受け取れない。

ということがありました。

 

弊社(スワットブレインズ)では、添付ファイルをメールに添付するような形で相手に送る際に、

• safeAttach Evolution / safeAttach 製品

を活用して送っています。

 

safeAttach / safeAttach Evolution 製品は、メールサーバの上流側に配置しMTAのリレー途中にメール送信の流れを中断させて、

• 一定時間のメール保留
• 添付ファイルの自動パスワード付ZIP暗号化ファイル変換
• 添付ファイルの自動ダウンロードサーバへの切換える
• 送信指定先のアドレス設定を自動的にBccに切換える
• 送信メールと添付ファイルを上司が承認してから送信する

などの処理を施すことが出来ます。

 

弊社(スワットブレインズ)も、2019年12月までは、
“原則的にメールの添付ファイルは自動的にパスワード付ZIP暗号化ファイル”としてメールで送信していましたが、それを止めて、”原則的に添付ファイルの自動ダウンロードサーバへの切換え”の機能を優先して利用するように変えました。

 

しかし、弊社(スワットブレインズ)の社員は、メールに添付ファイルを添付して送信する「操作」を変えた訳ではありません。
メール送信時の操作としては、それまでと何も変わりません。

 

[メール作成]-[メール本文書く]-[送るファイルを添付する]-[送信] の操作をメーラで操作することに変わりは無いのです。

 

しかし、safeAttach 製品で、自動的にダウンロードサーバへの切換えを実施してくれるので、社内的には、ダウンロードサーバにファイルを保存して、そのURLをメールに書いて・・・ということをしなくてもPPAP廃止対策を実施しております。（笑）

 

さらに、前に書いた「課題」に対応もしています。
> ・メール受信者の環境から、オンラインダウンロードサイトへの
>　Webアクセスが制限されていてファイルが受け取れない。
・・・への対応です。

 

これは、いわゆる添付ファイルの形で、相手に届ける方法です。
しかし、これも safeAttach 製品で自動的に対応させています。

 

• メール送信者が「メール件名」に safeAttach 向けの指令コマンド文字列を書いてメール送信する
• safeAttach のセキュリティ処理ポリシーに、対応が必要な相手のメールアカウント(又はメールドメイン名)を設定しておいて、メール送信時に、safeAttach 自身に宛先を判断させて機能を自動的に切り替える

このような方法です。

 

 

メールの添付ファイル送信の「お作法」を、苦労して手順を考慮して操作を教育して、時には忘れてしまったり、操作を間違ったりするような難しいことは不要です。さらに、ダウンロードサーバの仕組みや仕掛けを個別に考えたり、することもありません。

 

• safeAttach / safeAttach Evolution 製品

を使ってください(笑)
それだけです。簡単です。

 

 

結果として、iPhone や iOS で動作する端末でメールを受け取って添付ファイルを受け取るために、対応が難しいパスワード付ZIP暗号化ファイルの処理をする必要は無くなります。
そして、強制的にパケットを無駄に消費させられることも無く、添付ファイルはWi-Fiの環境や社内に戻ってから別途ダウンロードするような選択も出来るようになります。

 

現代の「PPAP」廃止対策は、safeAttach Evolution / safeAttach 製品で実施しましょう。

 

情報システム担当者は、メール送信者に、特に新しい教育や操作についての教育なども必要ありません。今までとおりのメール送信の仕組みの先で自動的に対応する仕組みの採用です。

 

働き方改革を推進するために、そして、メール受信者側の企業や組織のメール防御の仕組みの邪魔ものにならないようにするために。

 

***本件に関するご意見・お問合せ・ご相談については、
弊社営業担当まで。 sales@swatbrains.co.jp

 

#電子メール #メール添付ファイル #PPAP #PPAP対策 #働き方改革
#パスワード付ZIP暗号化ファイル #オンラインダウンロード活用
#safeAttach #safeAttachEvolution #情報セキュリティ #暗号化

 

(Vol.115)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。