ブログ

PPAP と メール と 添付ファイル の話

2020年1月27日

「PPAP」って言うと、少し前に大流行した “果物と筆記用具” の唄。
・・・ですね。

 

でも、今「PPAP」っていうと、ちょっと違うようです。

 

Ｐ：パスワード付ZIP暗号化ファイルを送ります。
Ｐ：passwordを送ります。
Ａ：Aん号化
Ｐ：protocol
・・・のことです。

 

これは、電子メールの添付ファイル(添付した文書)を送る際に最近のセキュリティ的な「お作法」として広く定着している方法ですね。

 

記憶を辿ると、きっと「個人情報を保護しよう」というセキュリティのキーワードが広がり始めた10数年前に、電子メールで添付ファイルを送信する際に、添付ファイルの情報をセキュアに相手に送ることを考えて行われるようになったと思います。

 

その後、同様にセキュリティの観点で…

• メール誤送信対策として
• メールの一時保留や上司(又は第三者)の承認手段として

電子メールと添付ファイルを送信する「作法」として一般化しました。

 

メール送信者側も、この方法にすることでセキュリティの意識を高めインターネットの中を、平文のバケツリレー方式で配送されるメールで重要な情報や個人情報が含まれるデータを安全に相手に送信する方法と信じて実施されてきました。

 

どうしてパスワード暗号化したファイルは安全なのか？
それは、平文でバケツリレーされるメールだと、途中で盗聴･傍受された時に、簡単に中身を読まれてしまうから。そんな行為で添付ファイルの中身を見られて漏えいしたら大変だから！！
・・・ってことだと思います。

 

ま、確かにそうかもしれません。

 

でも、その後に続くメール本文で「パスワード情報・パスワード文字列」を送信していたら、それも盗聴・傍受されていたら意味あるの？
・・そんな言い方もありました。

 

でしょ？　そうですよね。

 

でも、まぁ、実際には、比較的手軽に暗号化する仕組みも普及しはじめてメール誤送信の対策にもなる ことから、なんとなくセキュリティ向上の手段として一般化したと思います。

 

しかし、最近は、これも違った角度で見直しを求められてきました。

 

• ランサムウェアなどのマルウエアを、メール添付のファイルを開かせる(実行させる)ことで感染させる攻撃
• 標的型攻撃の手段として、添付ファイルを使うのが増えてきた。

 

こういう攻撃手法に対抗するため、メールを受信する側では、添付ファイルの中身を検査する運用を実施しています。
アンチウイルスの仕組みを使った検査もあれば、仮想的な環境で添付ファイルを開いて(実行して)、不正なプログラムが実行されることが無いか確認する。などです。

 

でも、パスワードでZIP化されたファイルだと、この仕組みでは少なくとも自動的に検査するのは無理です。
パスワードによって解凍しないと、元のファイルとして処理出来ないから。

 

その結果、メール受信者となる人。そして、その添付ファイルを保存して暗号化を解き、平文として実行する端末へ確実にファイルが届くようになりました。
つまり、不正プログラムが仕込まれた不正(悪性)な電子ファイルかどうかをメールが届く前までに検査する仕組みを採用にしているのに確認が出来ない…という状態になってしまったのです。

 

これでは、せっかく高額な仕組みをメール受信経路に配置しておいても実質効果が発揮できない仕組みとなってしまいます。

 

もちろん、受信するメールの全てがパスワード付ZIP暗号化ファイルでは無いだろうし、むしろ、平文の添付ファイルについては、ちゃんと検査も出来るでしょう。ある一定のセキュリティは確保されるとは思います。

 

しかし、攻撃者が作る添付ファイルの進化は、表面的な想像を超えて暗号化された形や、実行ファイル形式の拡張子に変更した形など網を潜り抜けるための工夫がおこなれていると言われます。

 

標的型メール攻撃と呼ばれる最近の攻撃では、メール本文に記載したURLへの誘導でマルウエアをダウンロードさせるサイトへのアクセスを促す方法と、メールの添付ファイルを開かせ(実行)させる方法があると言われています。

 

この後者の方法での被害は、日々増えており、また、端末の中でファイルを開くことで実行させる埋め込みプログラムは、確実にその端末の中の状態に合わせて感染させることが出来るため攻撃者からすると非常に簡単に攻撃を実行することが出来る手段となります。

 

このような状況を改善するために、

• 標的型メール攻撃の訓練で、メール受信者に危機感を持ってもらう
• E-ラーニングなどで、添付ファイルを開かない知見を学んでもらう
• “怪しい”添付ファイル、”心当たりのない”添付ファイルは開かないと通達する

などで、認知とリテラシー向上にも期待してコストもかけて取り組むことが増えました。

 

しかし、攻撃者もそれを想定し、

• 受信者が”開きたくなるようなファイル名”を送り付ける
• ソーシャルハッキングと組み合わせて”ファイルを開く動機”を相手に意識させておいてから悪性ファイルを送り付ける

などで機械での自動判断では無く、人間の操作を想定した攻撃を組合わせ攻撃してくるようになったと言われています。

 

 

そういう背景もあり
「メールの添付ファイルをパスワード付ZIP暗号化ファイルで送信するのはもうやめろ！」っていう事になってきました。

 

また、そういうセキュリティの側面だけでは無く、メールを受信した際にファイルを開いて中身を見る端末の変化も関係していると思います。

 

働き方改革…という言葉により、当然と思われていた「勤務先の机の上のパソコンで仕事する行為」が、屋外で！自宅で！移動中の交通機関の中で！と様々な場所で仕事を行う環境になってきています。

 

そうなると、実際に勤務先以外の外部で操作する端末や、その端末の大きさやＯＳ、アプリについても多様化するようになりました。
結果、例えば、iPhoneなどのような小型の端末でメールを閲覧したり添付ファイルを見ようとすることがありますが、パスワード付ZIP暗号化ファイルを受信しても、簡単にファイルを解凍して開くことは出来ません。
むしろ、かなり大変です。

 

さらに言うと、モバイル環境で添付ファイルを”添付された”メールを受信するためには、パケットも消費します。会社支給のルータなど持っていたらまだ良いですが、テザリングだったりしたら、そのパケットも
意図せず消費してしまうことにもなります。＿|￣|○

 

なんのために、外部でメールを見て、添付されたファイルを開くのか。
働き方改革で、、、業務効率向上のために、、、にも関わらずそれを逆行することにもなりかねません。

 

今となっては、メール添付ファイルが、パスワード付ZIP暗号化ファイルになってることが、色々と都合が悪くなってきたのです。

 

では、どうする？

 

『メールにファイルを添付して、さらにパスワード付ZIP暗号化ファイルを添付して相手に送るのをやめよう！』という声が増え、働きかけをする動きになってきたようです。

 

でも、電子メールが基幹業務のツールとして広く当然の仕組みとして活用されている状態で、いきなりメールをやめよう！ってのも難しいです。
そして、電子メールは、今も、電子データ・電子ファイルを届ける手段として仕組み含めて認知も操作も「多くの人が使う」方法です。

 

では、どうする？

 

弊社(スワットブレインズ)では、2019年の12月末に、この課題に対して工夫をしてみました。

 

弊社から送信される電子メールに、添付ファイルを付けて送る場合は、その電子ファイルを、原則的に全て「オンラインダウンロードサーバ」に格納し、メールには、ダウンロードすることが出来る ワンタイムＵＲＬ をメールの先頭部分に追記した形で届ける。メールを受け取った人は、そのメールに記載された、オンラインダウンロードサーバにアクセスしワンタイムＵＲＬを指定した上で、そのサイトに保存されたファイルを自分の端末にダウンロードして受け取ってもらう。

 

…という流れに変えました。

 

実施したから約１カ月が経過しましたが、今のところ”苦情・クレーム”は幸いにもありません。

 

課題にとしては、

• メール受信者の環境から、オンラインダウンロードサイトへのWebアクセスが制限されていてファイルが受け取れない。

ということがありました。

 

弊社(スワットブレインズ)では、添付ファイルをメールに添付するような形で相手に送る際に、

• safeAttach Evolution / safeAttach 製品

を活用して送っています。

 

safeAttach / safeAttach Evolution 製品は、メールサーバの上流側に配置しMTAのリレー途中にメール送信の流れを中断させて、

• 一定時間のメール保留
• 添付ファイルの自動パスワード付ZIP暗号化ファイル変換
• 添付ファイルの自動ダウンロードサーバへの切換える
• 送信指定先のアドレス設定を自動的にBccに切換える
• 送信メールと添付ファイルを上司が承認してから送信する

などの処理を施すことが出来ます。

 

弊社(スワットブレインズ)も、2019年12月までは、
“原則的にメールの添付ファイルは自動的にパスワード付ZIP暗号化ファイル”としてメールで送信していましたが、それを止めて、”原則的に添付ファイルの自動ダウンロードサーバへの切換え”の機能を優先して利用するように変えました。

 

しかし、弊社(スワットブレインズ)の社員は、メールに添付ファイルを添付して送信する「操作」を変えた訳ではありません。
メール送信時の操作としては、それまでと何も変わりません。

 

[メール作成]-[メール本文書く]-[送るファイルを添付する]-[送信] の操作をメーラで操作することに変わりは無いのです。

 

しかし、safeAttach 製品で、自動的にダウンロードサーバへの切換えを実施してくれるので、社内的には、ダウンロードサーバにファイルを保存して、そのURLをメールに書いて・・・ということをしなくてもPPAP廃止対策を実施しております。（笑）

 

さらに、前に書いた「課題」に対応もしています。
> ・メール受信者の環境から、オンラインダウンロードサイトへの
>　Webアクセスが制限されていてファイルが受け取れない。
・・・への対応です。

 

これは、いわゆる添付ファイルの形で、相手に届ける方法です。
しかし、これも safeAttach 製品で自動的に対応させています。

 

• メール送信者が「メール件名」に safeAttach 向けの指令コマンド文字列を書いてメール送信する
• safeAttach のセキュリティ処理ポリシーに、対応が必要な相手のメールアカウント(又はメールドメイン名)を設定しておいて、メール送信時に、safeAttach 自身に宛先を判断させて機能を自動的に切り替える

このような方法です。

 

 

メールの添付ファイル送信の「お作法」を、苦労して手順を考慮して操作を教育して、時には忘れてしまったり、操作を間違ったりするような難しいことは不要です。さらに、ダウンロードサーバの仕組みや仕掛けを個別に考えたり、することもありません。

 

• safeAttach / safeAttach Evolution 製品

を使ってください(笑)
それだけです。簡単です。

 

 

結果として、iPhone や iOS で動作する端末でメールを受け取って添付ファイルを受け取るために、対応が難しいパスワード付ZIP暗号化ファイルの処理をする必要は無くなります。
そして、強制的にパケットを無駄に消費させられることも無く、添付ファイルはWi-Fiの環境や社内に戻ってから別途ダウンロードするような選択も出来るようになります。

 

現代の「PPAP」廃止対策は、safeAttach Evolution / safeAttach 製品で実施しましょう。

 

情報システム担当者は、メール送信者に、特に新しい教育や操作についての教育なども必要ありません。今までとおりのメール送信の仕組みの先で自動的に対応する仕組みの採用です。

 

働き方改革を推進するために、そして、メール受信者側の企業や組織のメール防御の仕組みの邪魔ものにならないようにするために。

 

***本件に関するご意見・お問合せ・ご相談については、
弊社営業担当まで。 sales@swatbrains.co.jp

 

#電子メール #メール添付ファイル #PPAP #PPAP対策 #働き方改革
#パスワード付ZIP暗号化ファイル #オンラインダウンロード活用
#safeAttach #safeAttachEvolution #情報セキュリティ #暗号化

 

(Vol.115)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。

最近の情報セキュリティの中で使われる「無害化」という言葉

2018年3月19日

先日、某病院様へ伺った際に聞かれました。
また、某全国規模の大金融系情報システムセンター様へ伺った際にも同じような話題になりました。

 

｢無害化って何か定義があるのでしょうか？｣と。

 

※以下の内容は、弊社独自の解釈も含まれています。

 

そもそも、情報セキュリティの世界で｢無害化｣っていう言葉を最初に使ったのは…
ネットエージェント株式会社だと思う。

 

弊社でも取り扱って販売し、お客様にご活用をいただいた製品の営業活動の際に使っていたのが最初では無いかと思います。

 

その商品は、
「防人(さきもり)」です。

 

防人は、2012年5月にリリースされた製品でした。
標的型攻撃メール対策の仕組み。

 

余談だが、この頃、フジテレビ系で放送されていた「ほこ×たて」で「最強ハッカー VS 最強セキュリティプログラム」というタイトルでありながら内容は、脆弱性のあるWindows系端末にアクセスして…というなんだか良く判らない形になって、後日談の方でネット上が盛り上がる…という出来事などもありました。

 

さて、話を戻すと、その「防人」は、電子メールの受信経路上にＭＴＡとして導入し、受信するメールに添付された添付ファイルを受信者に届く前に「悪意のあるプログラムを含むことのできるファイル形式」から「内容を確認できる機能しか持たないファイル形式」、つまり、「画像」に変換することにより、標的型攻撃メールを「無害化」する…という製品でした。

 

これは当時とっても画期的で、弊社からご提供したお客様も「無害化」の導入を推進するための手段として選択していただきました。

 

この防人製品を紹介する表現の中で【無害化】を使っていました。

 

※この製品は、今日現在ではネットエージェント社から発売は終了しています。

 

その後、少しの時間が流れて、2016年から2017年の夏までの間は、全国全ての自治体で大規模なネットワークセキュリティ強化が実施されました。

 

この時にもセキュリティの用語として「無害化」が出てきます。

 

しかし、その「無害化」は、色々な仕掛けに対して使われました。
いずれも、セキュリティ強化が目的ではあるのですが。

 

• ｢通信の無害化｣を実現するためネットワークの分離を実施
• ｢標的型メール攻撃の無害化」を実現するため、メールの無害化を実施
• ｢セキュアなセグメントの無害化」を実現するため、ファイルの無害化を実施

が、代表的な「無害化」だと思います。

 

全ての国民に割り当てられた、マイナンバーの情報が漏えいし国民の生活や生命に被害が及ぶような悪用事案が発生しないように、住民情報を運用するLGWAN[総合行政ネットワーク（Local Government Wide Area Network）]を、堅牢に守るためのキーワードでした。

 

その「無害化」を実現するために、多くの仕組みを提供するメーカやベンダーは、限られた時間の中で多様な対策の仕事を実施しました。

 

弊社も、その中でいくつかの自治体様向けの仕事していました。

 

• メールの無害化
  「Active!Zone」＋「DEEP Mail」
  https://goo.gl/WLfCYD
  https://goo.gl/q8NX5p
• ファイルの無害化
  ｢VOTIRO-SDS」
  https://goo.gl/ZDjj1S
  https://goo.gl/ENpPb4

 

このツールを中心にパートナー様とご一緒してきました。

 

残念なのは、色んな仕組みを提供するメーカやベンダーの人たちの中には「総務省が指示する無害化は…」と言いながら、それを好都合に解釈して、”おおよその事ができます”的な、玉虫色の表現を使って「多少違っても予算が厳しいから安価にしましょう」という価格を抑えるのだから、仕組みが劣っても仕方ないでしょ。という論法で提案をしたり、或いは、無害化の求める形すら変えてしまう提案まであったと言います。

 

｢無害化｣は、想定されるセキュリティリスクを「無害」にするものです。
つまり、可能性を「ゼロ」にすることを言います。

 

逆に言うと「ゼロ」にならないのであれば、それは「無害化」とは言えません。

 

“私たちの考える無害化としてご提案しています”というベンダーの言い方は好ましいとは言えません。

 

混乱を招くだけだからです。

 

そして、年は2018年になりました。
2017年度末として、そして、2018年度として、動き始めた訳ですが全国の自治体で実施した「無害化」の考え方は、他の業界へ検討と実施の流れが始まりました。

 

• 教育庁、教育委員会様
• 金融関連様
• 医療医薬関連様

が、中でも早い検討と実施に入られたようです。

 

例えば、2018年1月12日には、九州の大分県教育庁様での入札が行われました。
大分県下の教育庁・教育委員会様では、この春にも仕組みが稼働します。

 

弊社も少しだけご一緒しました。

 

他の都道府県の教育庁・教育委員会様でも、同様の検討が開始されていると思います。
いくつかの県については、弊社もご一緒しております。

 

そして、金融関連では、全国組織の電算センター様向けのお話としていくつか伺っております。

 

こちらについては、「Webアクセスの無害化（分離)」というキーワードも出てきました。

 

さらに、病院系様向けの「無害化」の話題もあり、お声がけをいただいた先へお伺いして、これまでの弊社の事例・実績をご紹介しながら、具体的な無害化の対策とはどういうものか？というご案内をしております。

 

情報セキュリティにおける「無害化」は、ネットワークでの無害化から、電子メール、添付ファイル、電子ファイルの無害化、そして、Webアクセスの無害化とその展開を広げています。

 

弊社では、「Webアクセスの無害化」に対する新製品をご紹介する計画でいますが、これにより、いずれの「無害化」に対しても、より具体的で確実な「無害化」をご提案できるようになります。

 

情報セキュリティの「無害化」は、2018年度のキーワードになる状況です。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.114)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。

ネットワーク分離、Web・メールの無害化の導入。自治体系からの広がりについて

2018年3月12日

ネットワーク分離、Web・メールの無害化の導入。自治体系からの広がりについて。

 

総務省の指針に沿って、全国全ての自治体では、セキュリティ強化を目的にネットワーク分離、Web・メールの無害化、ファイルの無害化…を、2017年度までに導入され運用されている。

 

現場の運用まで含めて、様々な意見やコメントもあるそうだが、正しく利用されている場合は、各段にセキュアな環境になったことは間違いない。

 

この仕組みは、従来のネットワーク運用、日常業務操作と比較すると、手順も増えますし、面倒に思うかもしれません。しかし、結局は、自分の仕事を実施する上で「自分を守ってくれる」仕組みであることも大事な観点である。

 

団体や企業は、投資してセキュリティ強化を実施する。
もちろん、目的の中には、組織を守るため…っていうこともある。
しかし、現実にはその組織で働く人を守っている側面もある。

 

あれ？とか、え？とか、そういう思いもしない操作を行って不本意な結果になることを、出来るだけシステムの仕組みなどにより発見してくれたりすることもある。或いは、仕組みが危険を判断するための情報を自動的に示してくれるものもある。

 

ネットワーク分離、Webアクセスの無害化、メールの無害化、そして、電子ファイルの無害化の仕組みも、そのような仕組みの一つと言える。

 

全国各地の自治体で採用された、この仕組みが、自治体以外の分野に広がり状況になってきた。

 

弊社ご連絡をいただき、仕組みの説明や製品の紹介、デモなどをご案内した先としては、

• ＪＡ関係様
• 都道府県教育庁、教育委員会様
• 銀行系企業様
• 病院、医療系様

と、一気に広がりを見せている。

 

自治体様にご案内した内容をもとに、

• 無害化ってどういうことを言うのか。
• 無害化する、ネットワーク分離をする、とは具体的に何をするのか。
• メールの無害化、ファイルの無害化、分離とは。

などのご相談をいただいております。

 

特に「無害化」については、総務省基準とも言える処理の部分についてわりと曖昧な解釈をしているメーカやベンダーが多いため、「概ね総務省基準」とか「総務省の言っている大半を実現できる」などグレーな提案が数多くあります。

 

ちなみに、総務省の示している無害化…に合致するのは、ただ１つ。

 

弊社では、アプライアンスモデル・パッケージの両方で提供が可能な VOTIRO-SDS 製品 です。

 

また、メールの無害化についても同様です。
言葉巧みに「無害化相当」という製品はいくつもあります。

 

その結果、言葉に惑わされた形で、製品を採用し、その後に…
「え？これは出来ないの？あれば出来ないの？」というトラブルが発生するケースもあります。

 

間違うことが無いように、具体的に「元々どういう機能が必要なのか？」を確認して理解していただくことが大事です。

 

時間が無い。期間が無い。早く方針を決めないと！
・・だからこそ、正しい理解が必要です。

 

弊社では、自治体向けの導入実績を元に、提案の様子から実際の製品選定まで具体的にご紹介可能です。

 

※Webサイトに掲載していない製品については営業までお問合せください。

 

(Vol.113)

 

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2020、スワットブレインズ　掲載記事の無断転載を禁じます。