クオリティア、添付ファイルのZip暗号化（PPAP）への対処について

報道各位
2020年12月23日
プレスリリース　　　　　　　　　　　　　　　　　　　　　　株式会社クオリティア
=================================================

　　　　　　　　添付ファイルのZip暗号化（PPAP）への対処について　　　　　　　

=================================================
　以前より、添付ファイルのZip暗号化（PPAP）はセキュリティ上あまり効果がないと
言われてきましたが、11月17日に平井デジタル改革担当大臣が11月26日より霞が関での
利用を廃止すると会見で明らかにしたことにより、一層注目されることとなりました。
会見後に当社にも多くのお問い合わせをいただいており、以下に当社の見解を示させて
いただきます。

●Zip暗号化の何が問題なのか？
ではZip暗号化の何が問題なのでしょうか。元々は受信者側のメールストア容量の圧迫
を回避するために添付ファイルを圧縮し送信する手法がエチケットとして定着していま
した。その後、インターネットの経路上を行き交う通信の中でHTTPは早くから暗号化さ
れていましたが、SMTPというメールを配送するプロトコルの暗号化は進んできませんで
した。そこでZip圧縮に加えてパスワードも設定する暗号化手法に注目が集まり、2012
年には、ISMSやPマークを取得するうえで添付ファイルのパスワードによる暗号化が効
果的であるという見解が示されたことから、このZip暗号化技術が広く一般的になって
いきました。
にもかかわらず、Zip暗号化の何が問題だと指摘されているのでしょうか。
当社はその問題点を以下の2点だと考えます。

1.　暗号化した添付ファイルとパスワードを同一経路で送信している
暗号化したファイルをメールに添付して送り、同一経路で後追いパスワードを受信者に
伝えることは、その経路上を第三者に盗聴されていたとしたら添付ファイルにパスワー
ドを掛けていたとしてもパスワードまで傍受されるため暗号化の意味がありません。

2.　ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができ
ない
猛威を振るうEmotet（エモテット）、新たに報告されているIcedID（アイスド アイデ
ィー）などのマルウェア（ウイルス）は、ファイルを暗号化しメール添付で送られてく
るため、一般のセキュリティソフトでは検出が困難で、ウイルスチェックやサンドボッ
クスチェックをすり抜けてしまいます。

●考えられる代替手段
Zip暗号化の代替手段としては様々な方法が提案されています。しかしながら、受信者
側のセキュリティ性を担保しつつ同時に送信者の利便性も維持することを念頭に置くと、
どの手段も現状では完全な解決策と言えるものではなく、懸念される点もありますので
同時に記述します。

1.　STARTTLS、MTA-STS（TLS1.2以上）、DANEなどのメールサーバー間のセキュリティ
対策を利用する
→送信者と受信者のEnd to Endの暗号化ではなく、また誤送信防止にはならない
→メールクラウドサービスを利用している場合、通信経路の暗号化はクラウド事業者の
対応可否に依存し、自分の意志で暗号化の有無を決めることができない

2.　クラウドストレージを利用する
→URLとパスワードを同一経路で送るとZip暗号化と同じことになってしまう
→過去のメールから検索し、当時送付されてきたファイルを確認しようとしてもメール
とファイルが分かれているため、どのファイルが見つけたいものなのか分からない

3.　S/MIME、PGPなどの電子署名と暗号化の仕組みを利用する
→証明書や鍵の管理が容易ではなく、またゲートウェイでのウイルスチェックができな
い
→利用可能なメールクライアントが限定され、送受信を行うには相手にも高度なナレッ
ジを求めることになる

4.　チャットやSNSなどを利用する
→送信者、受信者ともに同一のアプリケーションを使用している必要があり汎用性が低
い

●当社製品・サービスでの対処について
当社製品・サービスをご利用中のお客様、またご利用を検討中のお客様にはZip暗号化
の代替手段として以下の対処方法を推奨します。

1.　「添付ファイルWebダウンロード機能」のご利用を推奨
当社のメール誤送信防止製品・サービスのActive! gate、Active! gate SSには「添付
ファイルWebダウン ロード機能」が標準で搭載されていますので、そちらのご利用を
推奨します。「添付ファイルWebダウンロード機能」は、メール送信時に本文と添付フ
ァイルを自動的に分離し、添付ファイルはメール本文に記載されたURLのWebサーバー上
からパスワードを利用してダウンロードしていただく機能です。Webサーバー上に分離
されているファイルをユーザーは削除、またはダウンロードロックすることもでき、
メールの一時保留機能と組み合わせることで誤送信対策レベルの維持・向上を実現しま
す。ファイルのダウンロード期限を設ける、受信者のファイルダウンロードを確認した
ら サーバー上のファイルを削除するなどの運用をしていただければ、より安全にご利
用いただくことが可能です。

2.　「パスワードをヒントで伝える」
Active! gate、Active! gate SSには「添付ファイルの暗号化機能」と「添付ファイルW
ebダウンロード機能」が標準で搭載されていますが、いずれも受信者側がファイルを取
得するためのパスワードを設定することになります。そのパスワードの通知方法にはい
くつか設定がある中で当社は「パスワードをヒントで伝える」設定を推奨します。前述
した理由によりメール送信経路が盗聴されているのであれば同一経路で暗号化されたフ
ァイルとパスワードを送っても、金庫と金庫のカギを取得されてしまえば中身は盗まれ
たも同然です。したがって、「以前お伝えした12桁のパスワードです」などの送信者と
受信者しかわからない文字列をパスワードに設定し、そのヒントだけを相手に伝えると
いう手段があります。特にActive! gate、Active! gate SSにはパスワードの通知方法
を「ヒントで教える」に強制させる管理者設定もあり、ユーザーはパスワードを手動で
設定した後ヒントでしか通知できないようにする運用を実現可能です。それ以外には、
別経路で送信するなどの対処をしてご利用いただきますようお願いします。

3.　Zip暗号化ファイルの検知について
前述したようにインターネットを行き交うメールはまだまだすべての経路が暗号化され
ているわけではなく、平文の状態で送受信されるケースが多く見受けられます。したが
って、インターネットに接続しているすべてのメールサーバーが送受信ともにSTARTTLS
などの暗号化通信に対応する日が来るまでは盗聴防止という観点ではZip暗号化という
手段はセキュリティ的に有効であると当社は考えます。一方で受信者の側からするとEm
otet、IcedIDなどに見られる悪意あるZip暗号化ファイルの検疫は入り口対策として実
現しなければなりません。そのようなお考えのお客様には、当社の標的型メール攻撃対
策製品「Active! zone × サンドボックス」のご利用を推奨します。「Active! zone
× サンドボックス」をご利用いただくことで、パスワード付きZipファイルの中身まで
検知できるようになりますので、一般的なセキュリティ製品では対処が困難なEmotetや
IcedIDにも効果を発揮します。

実際に「Active! zone × サンドボックス」を導入いただいているお客様から9月中旬
に提供いただいたEmotetの検知・ブロックの実例を公開していますのでご参照ください。

▽「急増するパスワード付きZipによるEmotetの攻撃メールを『Active! zone × サン
ドボックス』で検知・ブロック ～当社ユーザー様に着弾した攻撃メールと対処につい
て～」
　リンク


当社では、Zip暗号化の代替手段として、またEmotet、IcedIDへの対策として、製品・
サービスを多くのお客様にご利用いただけるようにさらなる機能拡張に努めてまいりま
す。また、お客様により安全な運用方法などを啓蒙していきたいと考えています。

■製品・サービスURL
Active! gate（メール誤送信防止製品）: リンク
Active! gate SS（メール誤送信防止サービス）: リンク
Active! zone（標的型メール攻撃対策製品）:
リンク

■クオリティアについて
株式会社クオリティアは、国内で開発・販売を行っているメッセージングソリューショ
ンカンパニーです。メールやメールセキュリティを中心とした事業展開を行なっており、
主力製品であるWebメール「Active! mail」や大規模メールシステム「DEEPMail」など
を通じて、企業、官公庁、国内主要大学でのコミュニケーション効率化やIT人材の育成
に貢献しています。また、Microsoft 365やGoogle Workspaceと連携するクラウド型
メール誤送信防止サービス「Active! gate SS」、クラウド型メールアーカイブサービ
ス「Active! vault SS」などを通し、セキュリティ環境に優れたメールシステムの構築
を支援しています。近年では、標的型メール攻撃対策ソ リューション
「Active! zone」が400を超える地方自治体に採用され、現在ではサンドボックスを備
えるなどより機能強化しエンタープライズにも導入が進んでいます。さらに2020年秋に
は、セキュリティを担保しながら業務の利便性を向上させる新しいビジネスツールとし
て、メール・Web会議・チャットをシームレスにつなぐ新しいコミュニケーションプ
ラットフォーム「QUALITIA CLOUD」をリリースし、変化する働き方に対応したサービス
を提供しています。
　参考リンク ： リンク


■製品・サービスに関するお問合せ先
株式会社クオリティア
営業本部 フィールドセールス部
email: active@qualitia.co.jp
phone: 03-5623-2530
URL: htpps://www.qualitia.co.jp

■報道関係者のお問い合わせ先
株式会社クオリティア　
営業本部 マーケティング部 稲垣
email: press_pr@qualitia.co.jp　
phone: 03-5623-2532