ビジネスのファイル共有に、パスワード付きZipファイルを活用している企業も多いのではないでしょうか。

ファイルのサイズをメール添付可能な容量まで圧縮できたり、圧縮時にパスワード保護をかけることができたりと利便性の高いZipファイルですが、近年になりセキュリティに問題があることがわかっています

本記事では、パスワード付きZipファイルを使ったファイル共有について、セキュリティ上どのようなリスクがあるのかを、3つのポイントに絞って詳しく解説します。

また記事の後半では、パスワード付きZipファイルを使ったファイル共有を禁止する場合の、おすすめの代替手段も紹介。

Zipファイル共有の危険性について詳しく知りたいという方は、ぜひ参考にしてください。

Zipファイル共有の危険性|3つのセキュリティリスク

パスワード付きZipファイルを使ったファイル共有には、大きく分けて3つのセキュリティ上のリスクが存在します。それぞれのリスクについて解説します。

セキュリティリスク①第三者による「盗聴」

パスワード付きZipファイルを使ったファイル共有では、第三者による盗聴のリスクが懸念されます。Zipファイルの暗号化機能は、実はそれほどセキュリティ強度が高くなく、解析ツールを使えば簡単にファイルを開封できてしまうためです。

ZipCryptoによる暗号化はセキュリティ面で脆弱性あり

Zipファイルの暗号化方式には、「AES」と「ZipCrypto」の2種類が採用されています。

AESはアメリカ政府が標準で使用している高度な暗号化技術であり、比較的セキュリティ強度が高い暗号化方式です。

一方のZipCryptoは、古くからサポートされている暗号化技術であり、Windowsの標準OSで復号可能、かつ扱いやすいことから一般で広く利用されてきました。

Zipファイルの暗号方式はAESとZipCryptoにわかれ、それぞれのメリットとデメリットがあるが、一般では、ZipCryptoが広く採用されている

ただしZipCryptoは、利便性が高い反面、AESに比べるとセキュリティ面で脆弱性があり、先ほど説明したように解析ツールを使えば簡単にパスワードを解析できてしまうのが難点です。

「ZipCryptoを避けて、セキュリティ強度の高いAESを使えばよいのではないか」ということになりますが、AESはWindowsの標準機能で復号することができないため、利用ハードルが高いという課題があります。

そのような背景から、セキュリティ強度は低くても、Windowsの標準機能で扱えるZipCryptoの暗号化方式が一般に広く採用されてきました。

しかし、ZipCryptoを活用したパスワード付きZipファイルは暗号の強度が低く、解析ツールを使えば容易に解析されてしまいます。

悪意ある第三者が何らかの手段でメールを入手した場合、パスワード付きZipファイルとして暗号化保護されたファイルは、簡単に開封されて中身を盗み見られてしまう可能性が高いでしょう。

このように、暗号強度に脆弱性があるパスワード付きZipファイルを使ったファイル共有は、中身を盗聴されるリスクを抱えているのです。

セキュリティリスク②ウイルスの検知ができない

メールに添付されたパスワード付きZipファイルがウイルスに感染していた場合、受信側のPCでそのウイルスを検知できないケースがあります。暗号化されたファイルは、セキュリティソフトがウイルスチェックをおこなえないためです。

通常、メールの送受信に使われるメールサーバーや受信する側の端末では、セキュリティソフトによるウイルスチェックがおこなわれています。

しかし暗号化されたファイルは、セキュリティソフトがその中身をスキャンすることができないため、ファイルがウイルスに感染していたとしても検知することができないのです。

パスワード付きZipファイルはセキュリティソフトが中身をスキャンできないため、マルウェアが検知されない

そのため、添付ファイルを媒介に使う「Emoted(エモテット)」や「IceID(アイスアイディー)」といったマルウェアに感染するリスクが高いといえます。

Emotedの被害事例|NTT西日本

マルウェアに感染するとどうなるのか。

Emotedを例に挙げると、端末内の機密情報流出や、他端末や窃取された外部連絡先への感染拡大といった被害が想定されます。

実際のEmotedの被害事例として、NTT西日本の例があります。

2022年3月、NTT西日本で愛知県公立大学法人から受託している業務で使用していたPCがEmotedに感染し、従業員や取引先のメールアドレスが流出したことが発表されました。*1

該当の受託業務に従事する担当者が、不審メールに添付されたファイルのマクロを実行したことが感染の原因とみられているそうです。

社員を装った不審なメールが関係者に発信されていることから、感染が発覚しました。

感染発覚後、同社は感染拡大を防ぐために該当端末をネットワークから切り離し、さらに関係者へ注意喚起メールを送付するなどの二次被害防止策を実行したとのことです。

この事例のように、マルウェアに感染すると、内部情報の流出や関係者への二次被害拡大などが起きる恐れがあります。

*1:NTT西日本のプレスリリース

セキュリティリスク③誤送信などの人為的ミス

パスワード付きZipファイルを活用したファイル共有は、誤送信などの人為的ミス、いわゆる「ヒューマンエラー」に弱いという弱点があります。

ファイルをパスワードによって保護していたとしても、ファイルの送信先とパスワードを記載したメールの送信先が同一であれば、パスワード保護によるセキュリティ対策は何の効果も期待できないためです。

ファイルとパスワードの2つが揃えば、誰でもファイルの中身を見ることができてしまいます。その2つを誤った送信先に送ってしまった場合、簡単に情報が流出してしまうのです。

誤送信は取り返しがつかない

また後から誤送信に気がついても、一度送ったメールは相手側のメールBOXに残ることになり、送信側が取り消すことはできません

相手に削除をお願いしても応じてくれるかどうかはわからず、仮に応じてくれたとしても、本当に削除してくれたのかどうかを確認する手立てはありません。つまり、取り返しがつかないということです。

メールの誤送信は取り返しがつかない

ファイル共有におけるこうしたヒューマンエラーのリスクは、メールセキュリティシステムなどでダブルチェック機能を設けたり、ファイル共有とパスワード通知の連絡手段を切り分けたり(メールでファイルを送り、電話から口頭でパスワードを伝えるなど)などの対処法が考えられます。

ただし、いずれの方法もZipファイルそのものの暗号強度が信頼できる前提に成り立つものであり、セキュリティリスク①で解説した通りZipファイルの暗号強度が脆弱である点をかんがみると、根本的な対策にはなりません。

また、どれだけ気をつけてもヒューマンエラーは完全になくすことが難しいものです。

多重チェックの実施や社内への啓蒙活動だけでは限界があるので、エラーが起こらないような業務設計を構築する、または、起こった場合のインシデントリスクをいかにしてゼロに近づけるかを考えることが重要といえます。

Zipファイル共有は危険性が高い。代替手段はクラウドストレージがおすすめ

これまで解説してきたように、パスワード付きZipファイルを活用したファイル共有はセキュリティ上さまざまなリスクを伴います

Windows端末で扱いやすいことから一般で広く活用されてきた方法ですが、情報保護の観点からみると危険性が高いため、今後はできるだけ利用を避けることが推奨されます。

おすすめ代替手段「クラウドストレージ」

では、パスワード付きZipファイルを使わずに、どのような方法でファイルを共有すればよいのでしょうか。

こちらに関しては、クラウドストレージの活用が特におすすめです

クラウドストレージとは、ネットを介して利用するファイルサーバーのことを指します。ファイルの保管や管理をおこなうためのツールですが、外部とのファイル共有にも利用可能です。

クラウドストレージでは、保管場所のURLを共有するという方法で相手にファイルを共有します。

ファイルへのアクセス権を共有側で柔軟にコントロールできる点が特徴です。具体的には以下のような設定をおこなうことができます。

クラウドストレージでできること
・指定したユーザーのみにアクセス権を付与する
・共有リンクに有効期限を設定する
・任意のタイミングで共有リンクを無効化する

クラウドストレージはファイル自体をやり取りするわけではないので、マルウェア感染のリスクが小さいです。

さらに、クラウドストレージはファイルへのアクセス権を細かくコントロールできるため、誤送信が起きてもアクセス権のない人はファイルを閲覧することはできず、ヒューマンエラーの対策にも効果が期待できます。

▼クラウドストレージについて詳しく知りたい方は以下の記事をご参考ください

セキュリティ対策バッチリ!クラウドストレージ「WPS Cloud Pro」

WPS Cloud Proは、法人向けのクラウドストレージサービスです。ビジネスで安心してお使いいただけるよう、通信の暗号化やアクセス権の詳細設定といったセキュリティ対策が施されています。

さらに、管理者による全体の一元管理を実現するコンソール機能も搭載しており、従業員がセキュリティを気にすることなく業務に集中できる環境を、管理者側で構築することが可能です。

価格は1ユーザーあたり月額300円(税抜)となっており、1ユーザーあたり100GBの容量がご利用いただけます。

なお、この容量は環境全体で分配が可能です。たとえば「たくさん使う部署には多く配分し、そうでない部署には少なく配分する」などの設定がおこなえるので、ストレージの容量を無駄なくお使いいただけます

古くから利用されてきたZipファイル共有ですが、近年はセキュリティリスクの高さが指摘されており、情報保護の観点から危険性の高いファイル共有手段として認識されています。

法人向けクラウドストレージであるWPS Cloud Proであれば、パスワード付きZipファイルを使わずに、安全にファイルを共有することができます

zipファイル共有の代替手段を検討されている方は、ぜひこの機会に活用をご検討ください。