最近では,メールの添付ファイルを悪用したサイバー攻撃が巧妙化しており,メールからのマルウェア感染が拡大して社会的に大きな問題となっています。
そこで,本項では本学としてのメールの添付ファイル(以下,「添付ファイル」)の取り扱いを解説します。

添付ファイルで利用可能なファイル種別や運用方法について

添付ファイルには様々な種別(以下,「拡張子」)や運用方法がありますが,時代や社会情勢に応じて利用形態等を変更(順応)していく必要があります。
ここでは,本学において添付ファイルで利用可能な拡張子や運用方法について説明します。

  • 一定以上の情報セキュリティが担保されている拡張子/運用であること。
    (=情報技術の進歩や社会情勢の変化に伴い,脆弱性や運用に危険性が発見された拡張子は原則として使用を禁止する。)
  • 社会的に一定以上の利用頻度が確立されている拡張子/運用であること。
    (=製品のバージョンアップ等に伴い,社会的に利用頻度が減少している運用や拡張子は原則として使用を禁止する。)

本学では情報セキュリティの観点から,上記条件に当てはまる次の添付ファイルは利用を原則禁止します。

  • パスワード付ZIP形式ファイル ※条件を満たせば利用可能
  • 旧Office形式ファイル(doc,xlsなど)

詳細は以下で説明します。

「パスワード付きファイルの作成→パスワードをメールで送る」は時代錯誤の技術になった

情報の暗号化手段として,「ファイルにパスワードをかけて送付した後,パスワードをメールで相手に送付する手法」は”今までは主流のやり方”でした。しかし,今日においてはその手法に情報セキュリティ的なリスクが発見されるなど,手間の割りに効果が見られない(むしろリスクの方が大きい)ことが判明しました。

よって,今後は次のような行為は情報セキュリティ的に意味を成し得ない行為になります。

  • 添付ファイルを暗号化してメールにパスワードを付けて送付する
  • 添付ファイルを暗号化して送付後,別のメールでパスワードを送付する

これは,添付ファイルを付けたメールが“盗聴”された場合は,パスワードを送付したメールも“盗聴”される可能性が高いためです。

パスワード付き添付ファイルは今後利用してはいけないのか

では,添付ファイルにパスワードをかけて送付する行為の全てが意味がない行為なのかというと,そうではありません。
パスワードについては,一手間をかけてメールとは別経路で伝えることでセキュリティレベルが格段にアップしますので,次の方法で利用してください。

  • メールでパスワードの一部を送付し,電話等の別手段で補完する。
    (→ 万が一,メールが盗み見られても情報漏洩の被害を軽減できます。なお,別経路とする場合も強度なパスワードを設定するようにします。電話だけでは伝えやすくするために簡単なパスワードを設定したくなりますが,簡単なパスワードはすぐに解析されてしまいます。)
  • 予めやり取りする人同士でパスワードを決めておく
    (→ 毎回伝えることを省くことができます。ただしこの場合もメールとは別経路でパスワードを共有しておきます。)

企業や法人によってはメールの添付ファイル自体を受け付けていないのですが,どうすればよいでしょうか?

パスワード付きZIPファイルの廃止論

企業や法人によってはメールの添付ファイルの取り扱い(送受信)を禁止しているところもあります。添付ファイルの中でも特にパスワード付きZIPファイルについては廃止論が加速しています。
以下に簡単に解説します。

  • Windowsでは,パスワードを入力しなくてもZIPファイルの中身(フォルダ構造やファイル名)を確認できる。
    (→ 厳密な意味で「暗号化」とは言えません。)
  • 何度でもパスワード入力を試行できるため,総当たりすればパスワードが解析できる。
    (→ 実際にZIPファイルのパスワード解析アプリやソフトが存在するため,簡単なパスワードはすぐに解析されます。)
  • セキュリティ製品をすり抜けてしまう。
    (→ セキュリティ製品の中にはパスワード付きZIPファイルを展開できなかったり,パスワード付きZIPファイルをスキャンせずにスルーする製品があるため,攻撃者にとって絶好の「狙い目」になります。このため,パスワード付きZIPファイルの中にマルウェアを埋め込んでメールを送り付け,マルウェアに感染させる攻撃が多発しています。)

また,上記の特性を悪用したサイバー攻撃が世界的に問題となっており,パスワード付きZIPファイルを添付ファイルで利用することを禁止する企業や法人が急増しています。

旧Office形式のファイルは何が危ないのか?

MS Office のファイル形式 〜 新旧の違い 〜

Microsoft Office のファイル形式は,バージョン2007を境目として大きく変わりました。ここではバージョン2003以前のファイル形式を「旧Office形式」バージョン2007以降のファイル形式を「新Office形式」として解説します。

  • 旧Office形式ファイル(〜バージョン2003)
    • Wordの拡張子「.doc」
    • Excelの拡張子「.xls」
    • PowerPointの拡張子「.ppt」
  • 新Office形式ファイル(バージョン2007〜)
    • Wordの拡張子「.docx」
    • Excelの拡張子「.xlsx」
    • PowerPointの拡張子「.pptx」

上記のように,新Office形式ファイルでは「拡張子が4文字」(4文字目にXMLを意味する「x」が挿入された)になりました。
ファイルに格納できる機能が強化されただけでなく,XML形式に変更されたことでMS Office以外のアプリケーションでもファイルが開けるようになったり,Webサイトの素材としても利用できるなど,利用用途が幅広くなりました。
それ以外にも,セキュリティ面でも効果が見込まれますので以下で解説します。

旧Office形式の特性を悪用したサイバー攻撃について

Wordファイルを例に解説します。

旧Office形式のWordファイルでは,マクロと呼ばれるプログラムを組み込んだファイルも拡張子が「.doc」で作成可能です。
このため「普通のWordファイル」と「マクロが組み込まれたWordファイル」の区別ができません。

この特性を悪用することで,マルウェアに感染させるマクロ(プログラム)を仕込んだ旧Office形式「.doc」の添付ファイルを送りつけ,(普通のWordと誤認させて)マクロを実行させるサイバー攻撃が世界的に問題となっており,本学でも暫定的に旧Office形式の添付ファイルを禁止する措置を講じています。
(セキュリティ調査会社がこのサイバー攻撃で利用されたファイルの拡張子を調査したところ,約82%が旧Office形式だったという統計結果も発表されています。)

新Office形式のセキュリティ面での進化

新Office形式は拡張子が変更になったことにより,セキュリティ対策としても非常に効果的なものとなりました。

  • 旧Office形式のマクロファイル(〜バージョン2003)
    • Wordの拡張子「.doc」(通常の.docファイルと同じ)
    • Excelの拡張子「.xls」(通常の.xlsファイルと同じ)
    • PowerPointの拡張子「.ppt」(通常の.pptファイルと同じ)
  • 新Office形式のマクロファイル(バージョン2007〜)
    • Wordの拡張子「.docm」
    • Excelの拡張子「.xlsm」
    • PowerPointの拡張子「.pptm」

新Office形式ファイルでは4文字目にマクロを意味する「m」が挿入されたことでマクロファイルであることが明確に判断可能になりました。

また,旧Office形式ファイルを利用するOffice製品(バージョン2003以前)は,メーカーサポートが終了して6年以上が経過したことから,今後は社会的にもセキュリティ的にも,旧Office形式の利用頻度や必要性が減少していくことは明白でしょう。
過去の引き継ぎで等で旧Office形式で作成されたファイルが多々残っていると思われますが,これを機に新Office形式へ移行することを推奨します。

添付ファイルの新しい運用方式

ここまでの説明により,一部の添付ファイルには情報セキュリティ的な欠点が多々あることが理解できたと思います。
今後も添付ファイルの欠点や脆弱性を悪用した新たなサイバー攻撃が編み出されていく可能性は否定できません。

よって,今後は ZIPファイルや旧Office形式だけでなく,添付ファイルそのもの取り扱いが難しくなる傾向があります。
添付ファイルに変わる情報セキュリティに配慮したファイルの送受信手法が求められていますので,以下の対処法を習得することで今後の社会動向的にも役に立つと思われます。

本学では,総合情報基盤センターが「Proself」というオンラインストレージ(プライベートクラウド)サービスを提供しています。
(アップロードしたフォルダ/ファイルにURLとパスワードを用いてアクセス(学外公開)する機能を提供するオンラインストレージサービスです。)

詳しい内容は,学外と安全にファイルのやり取りをする方法で紹介しています。