平井卓也デジタル相が廃止するパスワード付きzipファイル 専門家も「全く意味ない」

パスワード付きzipファイルに専門家「害悪」 中央省庁での廃止が発表され話題

記事まとめ

  • 中央省庁職員がメールに添付する"パスワード付きzipファイル"を廃止すると発表された
  • ネット上では「弊社でも廃止して」「むしろ禁止して」と、賛同の声が溢れていた
  • パスワード付きzipはウイルスチェックできず、専門家は「害悪のほうが大きい」と指摘

平井卓也デジタル相が廃止するパスワード付きzipファイル 専門家も「全く意味ない」

平井卓也デジタル相が廃止するパスワード付きzipファイル 専門家も「全く意味ない」

「面倒くさい」だけではなかった…(イメージ)

 霞が関で政治主導の改革が進んでいるということか。河野太郎・行革担当相による「行政手続きの認め印廃止」に続き、平井卓也・デジタル改革担当相が11月17日の定例会見で、中央省庁の職員がメールを送るときに添付する「パスワード付きzipファイル」を廃止すると発表した。

 このニュースを受けて、ツイッターでは、〈民間にも早く広まって欲しい!〉〈弊社でもパスワード付きzipファイルを廃止してくれ〉〈むしろ禁止してほしいレベル〉〈滅んでほしい〉と、全面的に賛同する言葉が溢れ返った。添付ファイルを開けるのにいちいちパスワードを入力するという作業は微妙に面倒で、かなり嫌われているようだ。

 パスワード付きzipファイルとは、たとえば、ワードやエクセルで作成したファイルを電子メールに添付して送信する際に、パスワードを設定して「zip」という形式で圧縮し(=暗号化)、別送するパスワードを入力しないと展開(解凍)できないようにしたもの。

 送り手はその暗号化したファイルをまず添付して送信し、その後、パスワードを知らせるメールを別途送信するという“二段構え”で運用されることが多い。元のファイルをそのまま添付して送信すると、相手にそれが届く過程で通信を傍受され、情報が漏洩するリスクがあるという発想から生まれたシステムだ。この方式は中央省庁だけでなく、民間でも広く普及していて、添付ファイルのzip圧縮からパスワード送信までを自動化したメールサーバーを導入している企業も多い。

 では、なぜこのパスワード付きzipファイルの運用を廃止するのか。サイバーセキュリティが専門の立命館大学情報理工学部・上原哲太郎教授はこう解説する。

「電子メールという同じ手段でファイルとパスワードを送るので、もし盗聴者が添付ファイルを入手できるのなら、同じ方法でパスワードも入手できるはずだからです。こういうのを私は“お気持ちセキュリティ”と呼んでいます。手間をかけているから安全になっているような気がしますが、実は何の意味もないのです」

 パスワードを電話やファックス、郵送など別の通信手段で送るのならまだしも、ファイルに続けて別のメールで送ってしまったら何の意味もないという。

「パスワード付きzip」はウイルスチェックできない

「意味がないどころか、害悪のほうが大きい。パスワードのかかったzipファイルは暗号化されているため、メールサーバーでウイルスチェックができなくなるのです。昨年からパスワード付きzipファイルでウイルス感染させる『Emotet』と呼ばれる攻撃メールが大流行していますが、その一部はパスワード付きzipファイルを感染手段にしています。その対策のため、Gmailはパスワード付きの添付ファイルを受信すると、ユーザーに警告を出し、このファイルは安全だと確認しないと受信できないしくみになっています」(上原教授)

 一般企業でも、パスワード付きzipファイルを受信しないという動きは広がりつつある。この11月18日、クラウド会計ソフトを開発するfreeeは、パスワード付きファイルを添付したメールが同社のメールサーバーに送られてきた場合、添付ファイルを自動的に削除すると発表している。

 ──ある企業からメールでファイルを送信すると、秘密保持のため自動的にパスワード付きzipファイルに変換されて送られるが、相手先のメールサーバーではウイルスを警戒しその添付ファイルを自動的に破棄する──そんな冗談みたいなやり取りが始まろうとしている。

 平井デジタル相が決断したように、パスワード付きzipファイルは無意味なので廃止するとしても、インターネットの電子メールは“丸裸”で送るしくみといわれてきたから、情報漏洩の不安は残る。重要なファイルを送る際には、どうすればいいのか。

「電子メールが暗号化されていないというのは、実は昔の話です。2013年に、米国家安全保障局(NSA)が個人情報を収集していることを、元NSA職員のエドワード・スノーデンが暴露した『スノーデン事件』が起き、彼の話は少々大げさではあったのですが、この事件をきっかけにメールを傍受されないよう暗号化が急速に進みました。100%ではありませんが、企業や商用プロバイダーのメールサーバーはすでに8割以上、暗号化に対応しています。GmailやHotmail、iCloud Mailなども対応済みです。つまり、そのままファイルを添付してメールで送っても、ほとんど問題ないのです」

 今のメールのほとんどはすでに暗号化されて送られているので、それ以上の対策は基本的に必要ないという。

 ただ、“8割”というのが気になるところで、残りの2割は古いメールサーバーを更新せずに使い続けている企業やプロバイダーなどが考えられ、完全には不安を拭えない。

「暗号化に対応しているかどうか確認してからでないとメールの送受信をしないというMTA-STSという規格の普及も始まっていますから、情報システム部門に対応をお願いするといいですね。対応できないとか、相手があることだから不安だという人は、Google DriveやOneDrive、iCloud、Dropboxといったクラウドストレージを利用してファイルを送るといい。これらはアップロードもダウンロードも暗号化されています。ダウンロードのURLを誤送信した場合でも、相手がダウンロードする前であれば、ファイルを削除することで情報漏洩も防げます」(上原教授)

 このままパスワード付きzipファイルを使い続けている企業は、“セキュリティ対策が遅れている企業”という烙印を捺されかねない。廃止したうえで、自社のメールサーバーが暗号化に対応しているかを確認していただきたい。

●取材・文/清水典之(フリーライター )

関連記事(外部サイト)