パスワード付ZIPファイルは危険?その理由や対策まで解説!

2021年1月18日公開 (最終更新日:2022年3月15日)

パスワード付ZIPファイルは危険?その理由や対策まで解説! 画像

パスワード付きZIPファイルとは、解凍用のパスワードを設定した圧縮ファイルで、メールでのファイル共有の際にセキュリティ対策として利用されています。しかし、安全性の問題があり、政府や大手企業を中心にパスワード付きZIPファイルの使用廃止を決定しているところが増えています。どのように危険なのか、安全に情報を共有するにはどうしたら良いのかをご紹介します。

1. パスワード付きZIPファイルとは何?

ZIPファイルとは、圧縮ファイル形式の1つです。大容量のデータも圧縮することでファイルの容量を小さくすることができます。パスワード付きZIPファイルとは、ZIPファイルを圧縮する際に、解凍するためのパスワードを設定したものです。パスワードがなければファイルを開くことができないため、情報漏洩のリスクを下げる情報共有方法として知られています。

ZIPファイルを作る方法

ZIPファイルを作る方法はOSによって違います。

Windows

  • Windowsで「エクスプローラー」からファイルを選択し、右クリック
  • 「送る」を選択し、「圧縮(ZIP形式フォルダー)」を選択

もとのファイル名と同じ名前のZIPファイルが作成されているので、必要があれば右クリックから名前を変更します。

Mac

  • 圧縮したいファイルを選択
  • 左上のメニューの「ファイル」を選び、「圧縮」を選択

もとのファイル名と同じ名前のZIPファイルが作成されているので、必要があれば名前を変更します。

Macでは、OS X Leopard以降であれば、標準でZIPファイルにパスワードを付ける機能があります。事前にZIPファイルを作成し「ターミナル」を起動してパスワードをつけます。

パスワード付きZIPファイルの解凍は、Windows、Macともに標準機能として備えています。

2. パスワード付きZIPファイルでの送信方法

パスワード付きZIPファイルを送信する手順は以下の通りです。

  • パスワード付きZIPファイルを作成
  • メールでパスワード付きZIPファイルを送信
  • パスワードを別のメールで送信

送信者はファイルとパスワードを別々のメールで送ります。受信者は両方のメールを確認後、パスワードを使ってZIPファイルを解凍します。

3. パスワード付きZIPファイル送信の問題点

パスワード付きZIPファイル送信の問題点 画像

パスワード付きZIPファイルの送信にはいくつかの問題があります。問題の内容を具体的に紹介します。

メールの情報漏洩リスク

パスワード付きZIPファイルでは、メール盗聴による情報漏洩リスクがあります。添付ファイルは暗号化されていても、メールそのものにSMTPSやS/MIMEなどの暗号化を導入していないと、メールそのものは平文のまま送信されるため、盗聴リスクが残ってしまいます。セキュリティ確保のためには、メールの通信そのものを暗号化したほうが合理的です。

また、ファイルとパスワードが同一経路で、ほぼ同時刻に送信されるため、万が一ウイルスに感染していた場合、メールデータそのものが盗まれる可能性が高くなります。

加えて、ZIPファイルで採用されている暗号には、セキュリティ的な問題があることが指摘されています。よく利用されている暗号方式の「Traditional PKWARE Encryption(以下ZipCrypto)」は、ツールを使うと短時間でパスワードが解析可能です。より暗号化強度が高い「AES 256bit」は、Windows標準では復号できないため、問題があると知られながらもZipCryptoが使われ続けてきました。そのため、通常の暗号化ZIPファイルであれば、容易に解析されてしまいます。
それだけでなく、すでにインターネット上などに公開されているいくつかの暗号化されていないメッセージと、そのメッセージが暗号化したものの両方を使って、暗号を解読するという方法もあります。もし、ZIPファイル内に公開されているメッセージが含まれていた場合、そこから残りの内容が解析される恐れがあります。

さらにZipCryptoでは、ファイル名までは暗号化されないため、復号しなくても一部の情報が漏れてしまうなどの問題も指摘されていました。

「異なる暗号方式を用いる」「パスワード文字列を複雑で長いものにする」といった対策も考えられますが、同一経路・同時刻に送信していることや、ZIP自体の暗号化強度が弱いことから根本的な解決にはなりません。

添付ファイルのウイルスチェックができない

ウイルス対策ソフトウェアでは、暗号化ZIPファイルに対してスキャンができないため、ウイルス感染のリスクが高まる点も問題視されています。

メールを送受信するメールサーバーや受信者側の端末側では、通常ウイルスチェックが行われますが、暗号化されたZIPファイルに対してはウイルスチェックができません。そのため、ウイルスに対する脆弱性が高くなります。

特に最近では、「Emotet」や「IcedID」といった添付ファイルを介してウイルスに感染させる手口が増加しており、ウイルスチェックできないパスワード付きZIPファイルのリスクは非常に高くなっています。

メール受信者側の生産性低下

PPAP方式でメールを送信した場合、受信者側に作業負担が発生します。送信者側は原本となるファイルがあるため、メール送信のためだけにパスワード付きZIPファイルを作成し、それ以外でZIPファイルを利用することはありません。自動でPPAP方式にするシステムを導入している企業であれば、なおさら手間はかからないでしょう。

一方、受信者側はZIPファイルを使用するたびに、パスワードが記載されたメールを探して復号しなければなりません。ファイル・パスワード管理が煩雑になるだけでなく、無駄な作業が発生するため、生産性も低下します。

4. パスワード付きZIPファイル(PPAP)の廃止が決定

パスワード付きZIPファイルを使って情報共有することをPPAP方式と呼び、ファイル共有時のセキュリティ対策として知られています。PPAPという呼び方は、次の頭文字が由来です。

  • P……Password:パスワード付きZIPファイルを送る
  • P……Password:パスワードを送る
  • A……Angouka:暗号化
  • P……Protcol:プロトコル

セキュリティ対策として普及していますが、前述のような問題点があり、セキュリティ対策にはならないと指摘されていました。

政府は2020年11月24日、内閣府および内閣官房で採用していた自動暗号化ZIPファイルの運用廃止を表明し、クラウドストレージサービスを使った共有方法を取り入れています。

また、大手企業を中心にPPAPを廃止するだけでなく、ファイルが添付されたメールを受信しない仕組みを導入する企業もあります。

5. 安全なファイル授受方法2選

パスワード付きZIPファイルのようなリスクなく、安全にファイルを受け渡しする方法として使われているのが次の2つの方法です。

ファイル転送サービスの利用

「ファイル転送サービス」とは、主に容量が大きいファイルを送信する際に使われるサービスです。送信者側は送りたいファイルをインターネット上のサーバーにアップロードし、ダウンロード専用のURLを相手に伝えます。受信者側は受け取ったURLをクリックして、ファイルをダウンロードします。

無料で利用できるサービスも豊富なことから、個人・法人を問わず利用されています。しかし、機密情報や個人情報を送信する場合には、事業者やサービス自体のセキュリティやデータの取り扱われ方に注意を払う必要があります。コンプライアンス上、無料のファイル転送サービスの利用を禁止・制限している企業もあります。ビジネスでは、通信の暗号化や、承認フロー・送信先制限などの誤送信対策機能を備えたサービスを利用するのが適切です。

さらに、アクセス期間の設定ができるサービスを選べば、届け終わったファイルの削除し忘れを防止できます。放置されたファイルは意図せず漏洩するリスクがあるため、自動で削除することで危険を最小限にします。

オンラインストレージサービスの活用

「オンラインストレージ」とは、インターネット上のサーバー容量を借りて、ファイルを保存するサービスです。渡したいファイルをオンラインストレージに保存することで、共有メンバーはファイルをダウンロードすることができます。ファイルがアップロードされる度に、メールなどで通知を受けることができるサービスもあります。またファイルに間違いなどが見つかった場合も、差し替えが容易です。

ですが、前述のファイル転送サービスと同様、ビジネスでは、事業者やサービス自体のセキュリティやデータの取り扱われ方に注意を払う必要があります。暗号化やログイン制限、ユーザーの権限振り分け、ログ管理などセキュリティ機能が充実した、十分なデータ容量を確保できる法人向けサービスの利用をおすすめします。

6. 安全なファイル授受はBizストレージ ファイルシェア

NTTコミュニケーションズが提供する「Bizストレージ ファイルシェア」は、オンラインストレージ機能と大容量ファイル転送機能の両方が使える、便利なサービスです。上長による承認や送信先制限、アクセス期限設定などのセキュリティ機能も充実しており、安全にファイルをやり取りしたいという企業のニーズに対応しています。通信の暗号化や2要素認証、IPアドレス制限などの強固なセキュリティ対策に加え、国内の自社設備による高い安定性は多くの企業から評価されています。

Bizストレージ ファイルシェアを利用すると、情報漏洩による信用低下リスクの軽減に加え、業務効率化やBCP対策も可能です。また、クラウドストレージとファイル転送サービスの両方で有料サービスを検討しているのであれば、1つにまとめてしまったほうが利便性も高くなり、コストも抑えられます。

7. まとめ

パスワード付きZIPファイルとは、圧縮したファイルに解凍用のパスワードを設定したものです。メールでファイル共有をする際に、セキュリティ対策として使われています。

しかし、安全性の問題から政府や大手企業を中心にパスワード付きZIPファイルを使用しないと決め、安全なファイル授受方法であるファイル転送サービスやオンラインストレージサービスを利用する企業が増えています。

NTTコミュニケーションズが提供するBizストレージ ファイルシェアは、ファイル転送機能もオンラインストレージ機能も両方使えるサービスです。通信の暗号化や2要素認証、IPアドレス制限などのセキュリティ機能も充実している上、国内の自社設備による高い安定性や信頼性が多くの企業から評価されています。無料でトライアルもできるので、安全なファイル共有方法を探している企業に適したサービスです。

NTTコミュニケーションズの
法人向けファイル転送・共有サービス

Bizストレージ ファイルシェア

合わせて読みたい記事

このページのトップへ

NTTコミュニケーションズの
ファイル転送・共有サービス

NTTコミュニケーションズのファイル転送・共有サービス