セキュリティチームのぐっちーです。mxHEROの新機能である「添付ファイル付きメールのブロック機能」を、ZIPファイルのブロックというシナリオで検証してみました。
本ブログのサマリー
- mxHEROが新しく提供を開始した「添付ファイル付きメールのブロック機能」を「PPAPを一律ブロックする」というシナリオで試してみました。
- 当社内でブロックの動作確認はできましたが、ブロックされた際の文面の編集ができない等の課題があり、ユースケースは限定的であると考えています。
なくならないPPAP
日本古来から利用されているPPAP(メールでパスワード付きのZIPファイルを送り、別メールでパスワードを送る)は誤ったセキュリティ対策とも言われ、以下のような批判を抱えています。
- パスワード付きのZIPファイルとパスワードを同じ経路で送るとセキュリティ対策にならない。(攻撃者がzipファイルを添付したメールを入手できるならば、同じ手段で送られるパスワードも入手できると考えられる。)
- 暗号化されているためメールのウイルススキャンができず、ウイルスの侵入経路となる。
- 利便性の低下をもらたすことがある。(ファイルを開くまでに時間がかかり、パスワードを忘れるとアクセスできない。)
そんな背景もあり、平井卓也デジタル改革担当大臣(当時)が内閣府と内閣官房で廃止すると発表[1]するなど、社会全体でPPAPを撲滅していくムーブメントが起ってから数年が経ちました。しかし、PPAPは以前として根強く残っているのが現状です。メールを含む「コミュニケーション」は双方向で成り立っているものであり、受信者がいくら頑張っても送信者側が変わらないと根絶することが難しいということが一因として挙げられます。
ZIPファイルを一律ブロックする”荒療治”
そんな中、いくつかの企業ではファイル受け渡しの別手段を用意した上でPPAPを一律ブロックする企業がいくつか現れています。有名な企業さんだとソフトバンクさん[2]や、IIJさん[2]が挙げられます。PPAPを一律ブロックは現場が混乱する恐れや、一時的に利便性を損なう可能性があり、賛否両論はあると思いますが、痛みを伴いながらも負の遺産を是正していこうという姿勢に個人的にカッコいいなと思います。(完全に筆者の個人見解です。)
mxHEROで実装してみる
そんな「PPAPを一律ブロックの設定」を検証してみようと思います。正直、PPAPをブロックするだけなら沢山の実装方法があります。しかし、今回はmxHEROの新ダッシュボードのPoCを兼ねてmxHERO縛りで実装してみました。
前提条件
- mxHEROの「初期セットアップ」が完了している必要がございます。
- 本手順を実施するためには、「mxHERO管理者権限」が必要です。
本ブログの内容は、2023年5月1日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
設定手順
まずは、[mxHERO管理プラットフォーム] > [ルールの作成] から新しいルールを作成します。
アクションフィルターのオプションでは[拡張子別にファイルをフィルタリング]を選択し、自由入力欄に[zip] と入力します。
それ以降の設定は基本的に通常のセットアップ時と同一です。
動作確認
設定した状態で、ZIPファイルを送信して動作確認をします。メールを送信してから体感30秒ほどで下記のようなブロックメールがmxHEROから飛んでききます。
Your email has been blocked due to an organization data policy. Emails with attachments from {送信者の名前} to {受信者のメールアドレス} are not allowed. Please re-send your message following the security guidelines.(あなたのメールは、組織データポリシーによりブロックされました。{送信者の名前} から {受信者のメールアドレス} までの添付ファイルを持つ電子メールは許可されていません。セキュリティガイドラインに従ってメッセージを再送してください。)
mxHERO添付ファイルブロックの文面
一方、メール受信者側としては、添付ファイルだけではなくて、本文も含めて何もメールが飛んでこない仕様となっています。
気になる点
ブロックされた事実は受信者にはわからない
前述の通り、メール受信者側としては、添付ファイルだけではなくて、本文も含めて何もメールが飛んでこない仕様となっています。mxHEROに期待していたところとしては添付ファイルだけを分離して不着にしつつ、メール本文は読ませるということなので、この辺は機能改修していただけるようにFBしていきたいと思います。
mxHERO側の言語設定に関わらず英語の定型文が返る(文面の編集機能なし
ブロックされた際のメールについては、mxHERO側の言語設定に関わらず英語の定型文が返る仕様となっています。また、文面の編集機能は現時点ではありません。文面の編集ができると、メールの送信者に対してわかりやすいがガイダンスができると思うので、その辺もFBしたいと思います。
送信者側は何に違反しているかわかりにくい文面となっている
ブロックされたことを示すメールの文面には「Please re-send your message following the security guidelines.(セキュリティ ガイドラインに従って、メッセージを再送信してください。)」という表現がなされています。この表現では受信者は何故このメールがブロックされたかを判断することが非常に困難です。ちょっとこれを見ると現場が混乱してしまうかもしれません。
暗号化ZIPとただのZIPファイルの区別はつかない
「暗号化ZIPファイル」と「非暗号化ZIPファイル」では根本的にセキュリティリスク等の性質が異なります。「非暗号化ZIPファイル」は「暗号化ZIPファイル」固有の弊害は当てはまらず、普通の添付ファイルと変わらない性質となっています。この2つを区別して制御してくれると尚良いかと思いました。
おわりに
mxHEROの大幅アップデートに伴って生まれた新機能ですが、出始めの機能だけあって、ユースケースは限定的であると考えています。今後もmxHERO社にFBしながら、利用できるケースを模索していきたいと思います。また、新管理者ダッシュボードに関する記事一覧については、下記ブログにまとめているので、そちらも併せてご覧いただけると嬉しいです。
参考文献
- 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.714-734 「さようなら,意味のない暗号化ZIP添付メール:4.座談会「社会からPPAPをなくすには?」 https://ipsj.ixsq.nii.ac.jp/ej/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=204902&item_no=1&page_id=13&block_id=8
注釈
- 平井内閣府特命担当大臣記者会見要旨 令和2年11月24日 https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html
- 当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ | 企業・IR | ソフトバンク https://www.softbank.jp/corp/news/info/2022/20220215_01/
- PPAPに対する当社運用の変更について | インターネットイニシアティブ(IIJ) https://www.iij.ad.jp/ppap/