freee、パスワード付きZIPの受信やめるってよ ～“PPAP”はマルウェア拡散の温床に？

freee（株）がメールに添付されたパスワード付きZIPを受信しない方針を発表

　クラウド会計システムの「freee」を運営するfreee（株）が11月18日、12月1日からメールに添付されたパスワード付きZIPを受信しない方針を発表しました。くしくも、11月17日に平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPの使用を廃止する方針を打ち出した直後ですが、この方針を受けての施策ではなさそうです。

　ではなぜ、パスワード付きZIPを受信しないのか？　実は、“PPAP”（ P assword付きZIPファイルを送ります、 P asswordを送ります、 A n号化（暗号化）、 P rotocol（プロトコル））と呼ばれる習慣が、「Emotet」のようなマルウェアの拡散を助長していると考えられるからなんだそうです。「Emotet」はWord形式のファイルとしてメールに添付されて拡散しますが、メールサーバーにセキュリティ対策製品が施されていれば、自動で検知・駆除される可能性が高いです。

　しかし、ファイルがパスワード付きZIPで暗号化されているとサーバーのセキュリティ対策製品では検知できず、ユーザーのもとへファイルが届いてしまうことになるというのです。それを利用して「Emotet」は、Word形式のファイルをパスワード付きZIPにして添付した、パスワードを記載した偽装メールを送り、ユーザーに解凍させてマルウェアに感染させようとします。

　セキュリティの観点から意味がないだけでなく、思わぬセキュリティリスクも抱えてしまう“PPAP”。これを機にすたれることを祈っています。