なぜ今、パスワード付きZIPファイルが脅威なのか
2020年9月、日本企業の間で「パスワード付きZIPファイル」の運用見直しが急速に進みました。政府機関による廃止方針の発表がきっかけでしたが、実務現場では「PPAP(パスワード付きZIPファイルを送る+後からパスワードを送る)」の悪習が根強く残っています。セキュリティの観点から最も危険なのは、この形式が攻撃者の格好の隠れ蓑になっているという点です。
攻撃者が好む「検知回避」の仕組み
近年の攻撃事例では、パスワード付きZIPファイルが「セキュリティ製品の網をすり抜けるための手段」として利用されています。多くのゲートウェイ型セキュリティ製品は、暗号化されたファイルの中身をスキャンできません。これにより、マルウェアが含まれたファイルであっても、パスワードという「鍵」をかけることで、検査を無効化し、受信者のPCまで直接届けることが可能になります。
具体的には、実務でよくある「請求書」や「注文書」を装ったメールに、パスワード付きZIPを添付する手法です。ユーザーは「パスワードがかかっているから安全」という誤った安心感を抱き、反射的に解凍・実行してしまいます。結果として、Emotetをはじめとするマルウェアの感染が拡大するというシナリオが繰り返されています。
実務現場で今すぐとるべき対策
単に「PPAPをやめる」という方針だけでは不十分です。私たちは以下の3点を徹底すべきです。
第一に、「クラウドストレージ」への完全移行です。ファイルのやり取りは、メール添付ではなく、アクセス権限を管理できるクラウドストレージを介して行うべきです。これにより、万が一の誤送信時にもリンクを無効化することで被害を食い止めることができます。
第二に、「不審なZIPファイルは解凍せず破棄する」というルールの徹底です。どんなに正当そうな件名であっても、相手先が安易にZIPファイルを利用している場合は、電話や別のチャネルで送付元に確認をとるフローを確立してください。
第三に、EDR(Endpoint Detection and Response)の導入です。ゲートウェイで防げない脅威に対し、PC上の動作を監視し、不審な挙動を即座に検知する体制こそが、現代のセキュリティ対策の要となります。
2020年の議論から数年が経過した今、私たちは「利便性」という言い訳を捨て、技術的な整合性がとれた安全なファイル共有手段へ完全に舵を切る必要があります。形骸化したルールに頼るのではなく、最新の攻撃手法を理解した上での運用見直しが、今まさに求められています。
コメント