はなぜメールを盗聴されるのか?-1024x538.png)
こんにちは。「クロジカ大容量ファイル管理」マーケティングの畝です。
「パスワード付きZIPファイル送信」(PPAP)が懸念される理由の一つとして「第三者による悪意のあるメールの盗聴」が挙げられます。この記事では、どのような理由でメール盗聴が行われるのかの解説、PPAPの代替手段をご紹介いたします。2020年11月、デジタル改革担当大臣は、中央省庁においてPPAPの利用をやめる方針を発表いたしました。
<参考>内閣府:平井内閣府特命担当大臣記者会見要旨
本記事を通して、読者の皆さまにPPAP活用のリスクを正しくご理解いただける一助となれば幸いです。
Contents
PPAPの活用でメールが盗聴される理由
パスワード付きZIPファイル送信(PPAP)が盗聴される理由として、暗号化したzipファイルとパスワードを記載したメールが、同じネットワークを通って送受信されることが考えられます。
ZIPファイルデータの暗号化は強度不足
ZIPファイルの暗号化では、AES(Advanced Encryption Standard) とZIPcryptoのどちらかの方法を使用します。鍵長(暗号鍵の長さ)は、AESでは256bit、ZIPcryptoでは最大で96bitのため、AESのほうが強度が高くより安全性が高い方式です。しかし、多くのOSで利用できるZIPcryptoの方法が使用されるケースも多いため、強度の弱い方法でパスワード付きZIPファイルが作成されてしまいます。
メールアカウントの乗っ取り
メールアカウントへの不正アクセス
攻撃者がメールアカウントを乗っ取ることで、受信したPPAPファイルを盗聴する隙が生まれます。
パスワード再利用の問題
同じパスワードを複数のサービスで使うことがあるため、一つのアカウントの侵害が他のアカウントにも影響を及ぼす可能性があります。下記の章では盗聴の理由が多岐に渡る、「メールアカウントの乗っ取り」に焦点を当てて解説をしていきます。
メールアカウントが乗っ取られる原因
メールアカウントが乗っ取られてしまう原因として下記の6つが挙げられます。
解読しやすいパスワードの使用
メールアカウントのパスワードが強力でない場合、攻撃者は簡単に推測したり、不正侵入されるリスクも高まります。名前や生年月日などで構成された脆弱なパスワードが乗っ取りの主な原因です。
パスワードの再利用
ユーザーが同じパスワードを複数のオンラインサービスやアカウントで使うことがあるため、一つのアカウントが侵害されると、他のアカウントにも影響を及ぼす可能性があります。
フィッシング詐欺
攻撃者はリンクを含む偽のメールを送り、ユーザーを悪意のあるウェブサイトに誘導し、そこでアカウント情報を盗みます。これは「フィッシング詐欺」として知られています。
マルウェア感染
ユーザーが危険なリンクをクリックしたり、添付ファイルを開いたりすることにより、マルウェアと呼ばれる悪意のあるソフトウェアがコンピュータに感染することがあります。このマルウェアは、ユーザーのアカウント情報を盗むことがあります。
セキュリティの不備
メールプロバイダーやオンラインサービスが適切なセキュリティ対策を講じていない場合、攻撃者は簡単にアカウントに侵入できる可能性があります。
ソーシャルエンジニアリング
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する犯罪です。
人的ミスによるメールの盗聴
メールの盗聴は、暗号化されていないテキストの内容を第三者がのぞき見ている状態を指します。以下では、どのようなミスによって発生するのか解説していきます。
パスワードの共有ミス
PPAPファイルのパスワードは、受信先へ共有する必要があるため、送信ミスなどにより不正なアクセスが行われるリスクが存在します。
共有設定のミス
共有ファイルの設定ミスがあると、意図しない人にアクセスを許可してしまう可能性があります。
セキュアなファイル共有を実現する対策方法
本章では、メール盗聴の脅威から逃れセキュリティの高いファイル共有が実現する具体的な対策方法を解説していきます。
メールアカウントのセキュリティ向上
前述したメールアカウントが乗っ取られる原因に沿って対策を行いましょう。具体的には以下のような対策が考えられます。
強力なパスワードを使用する
大文字、小文字、数字、特殊文字が含まれる複雑なパスワードを選びましょう。
2要素認証を有効にする
2要素認証を有効にすると、パスワードの他にスマートフォンやセキュリティトークンなどの追加要素が必要となり、アカウントのセキュリティが向上します。
信頼性の高いメールプロバイダを選ぶ
メールプロバイダを選ぶ際には、セキュリティ機能やスパムフィルターなどのセキュリティ対策が充実しているか確認しましょう。
定期的なパスワードの変更
定期的にパスワードを変更し、アカウントのセキュリティを維持しましょう。
フィッシング詐欺に警戒する
不審なリンクや添付ファイルを開かないようにし、信頼性のある差出人からのメールのみに注意を払いましょう。
セキュリティソフトウェアを使用する
コンピュータやモバイルデバイスにセキュリティソフトウェアをインストールし、最新のバージョンを保つことで、マルウェアやウイルスからの保護を強化できます。
不正アクティビティの監視
メールアカウントの不正アクティビティを監視するためのアラートや通知を有効にしましょう。
最新のソフトウェアとアップデートを利用する
コンピュータ、スマートフォン、ブラウザなどのソフトウェアを常に最新のバージョンに保つことで、セキュリティの脆弱性から守られます。
クラウドストレージ
PPAP問題に対してクラウドストレージが講じることのできる対策について下記の通り解説していきます。
データの暗号化
データの暗号化は、不正アクセスや中間者攻撃からデータを保護する主要な手段であることが考えられます。暗号化されたデータは、不正アクセスがあった場合でも、内容を解読されることなく保護されるからです。クラウドストレージではAES 256-bit暗号化技術などを用いて、ユーザーがアップロードしたデータを自動的に暗号化します。データの暗号化は、安全な通信を行うために必須の対策であると言えるでしょう。
情報漏洩を防止
情報漏洩防止策を講じることで、外部からの不正アクセスや社内の不注意など、様々なリスクからデータを守れます。ファイルのアクセス権限の設定、不正アクセスの検出とアラート機能、ログの監視などを強化することなどがクラウドストレージを活用した対策として挙げられます。クラウドストレージを利用するユーザーは、情報漏洩防止策についても理解し、適切に設定や監視を行うことも必要です。
まとめ
パスワード付きZIPファイル送信(PPAP)は、セキュリティ面での危険性があり、さまざまな脅威からデータを守る必要があります。情報の盗聴や乗っ取りは、日常の業務やプライベートに大きな影響を及ぼす可能性があり、問題が発生した企業の信用はあっという間に失墜してしまうでしょう。
改めて本記事で紹介した、メールアカウントが乗っ取られる原因は以下になります。
- パスワードの再利用
- フィッシング詐欺
- マルウェア感染
- セキュリティの不備
- ソーシャルエンジニアリング
企業情報や個人情報を正しく保護するために、定期的なセキュリティの見直しや教育、対策の実施が極めて重要です。
初めてのクラウドストレージに「クロジカ大容量ファイル管理」
「クロジカ大容量ファイル管理」は、社内外でファイル共有の機会が多い企業様、広範囲において膨大なデータや情報を扱う企業様にとって、データ管理の"はじめの一歩" となるサービスです。
「クロジカ大容量ファイル管理」は初期構築費用を無料でスタートすることができます。
さらにマルチデバイス対応なので、タブレットからスマートフォン、PCからスマートフォンなどデバイスをまたいでデータ交換が可能です。また、プロジェクト単位でフォルダ分けして、部署間を超えたファイル連携や取引先とのデータ共有など、利用者数に合わせたプラン選択ができます。簡単に導入でき、安心安全で利便性の高い機能を備えています。ファイル管理でお悩みの方はぜひお気軽にご相談ください。
大容量ファイル管理をクラウドでかんたんに
無料ではじめる大容量ファイル管理
クロジカガイドブック
- 大容量ファイル管理の課題を解決
- 大容量のクラウド移行
- 大容量のデータ共有
- データ保護
- クロジカ大容量ファイル管理の主な機能
