[GWS]Gmailで暗号化されたファイルを弾く

今回はGoogle WorkspaceのGmailで暗号化されたファイルを弾く方法を紹介しようと思います。
※記事中Google WorkspaceはGWSと表記します。

あとPPAP問題について少しだけふれます。

PPAP問題とは？

まずPPAPとは「Password付きZIPファイルを送ります、Passwordを送ります、Angoka（暗号化）Protocol（プロトコル）」の略号のことです。

よくある「パスワードは別メールで送りますね！」です。

誤送信対策として日本で広がったようですが・・・パスワードを別経路（電話・FAX）で共有するならまだしも同一経路で共有しているので正直意味がないです。

ああ、あと「プライバシーマーク、およびISO/IEC 27000 シリーズの監査上、ファイルの暗号化に対応するための手法として広まった」らしいです。

PPAPの危険性

WiKiから引用

• スマートフォン端末等では、パスワード付きzipファイルを閲覧するために専用のアプリケーションが必要であるなど、テレワークの導入に障壁となりえる。
• PPAPは典型的な劇場型セキュリティ（英語版）である。セキュリティ対策をしているという安心感に不必要な費用を掛け、本来するべき対策をせず、また有用な対策に利用する費用が削られている。
• 攻撃者がzipファイルを添付したメールを入手できるならば、同じ手段で送られるパスワードも入手できると考えられる。もし有用にパスワードを使用するならば、別の手段でパスワードを送るべきである。
• わざわざ別のメールで指定されたパスワードを一々入力するという手間は、無駄が多い。
• 多くの企業では、ファイルのzip化とパスワードの送信を自動で行っている。手動であればパスワード送信前に誤送信に気付くという効果があるかもしれないが、自動化されているとその効果も得られない。
• 添付ファイルを暗号化zipファイルにアーカイブすることによって、もし添付ファイルがマルウェアに感染していたとしても、アンチウイルスソフトウェアのシグニチャ型対策、サンドボックス型対策のどちらにも検知されない可能性が高まる。
• パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされており、もし暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない。
• zipファイルでは日本語ファイル名が文字化けする可能性がある。一般にWindowsでは文字コードとしてShift_JISでエンコードするのに対し、iOSやAndroidではUTF-8を前提にデコードする場合が多い。

また、補足するとGWSは企業向けサービスでありマルウェアを含んだメールは弾くようになっています。

組織をランサムウェアの脅威から守るためのベスト プラクティス | Google Cloud 公式ブログ

cloud.google.com

Gmail は 99.9% 以上のスパム、フィッシング メール、マルウェアの受信を防ぎます。頻繁に悪用される従来のオンプレミス メールシステムとは異なり、Gmail は継続的かつ自動的に更新されて最新のセキュリティ改善策や保護対策が適用されるため、組織のメールを安全に保つことができます。

ただ、Gmailに添付されているファイルが暗号化されているとこの機能で弾くことができなくなります。なのでPPAPはなるべくセキュリティ的に行いたくないのです。

また、PPAPはEmotetというランサムウェアに利用されることになりました。

Emotet（エモテット）関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「Emotet（エモテット）関連情報」に関する情報です。

www.ipa.go.jp

Emotetは2021年ごろから爆発的に広がりを見せその存在は現在でも脅威です。
私が所属している企業でもマルウェアを含んだメールの着弾を何件か確認しています。

こういった危険性からPPAPの廃止を行っている企業が増えてきています。

PPAPを廃止した企業・政府

内閣府、内閣官房

平井内閣府特命担当大臣記者会見要旨 令和2年11月24日 - 内閣府

内閣府のホームページです。内閣府の組織、政策、報道発表資料、統計・調査などに関する情報を掲載しています。

www.cao.go.jp

日立グループ

日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ：日立

受賞・お知らせ：日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ

www.hitachi.co.jp

freee

freee、メールによるパスワード付きファイルの受信を廃止 | プレスリリース | フリー株式会社

freee、メールによるパスワード付きファイルの受信を廃止

corp.freee.co.jp

東京水道株式会社

当社におけるパスワード付き暗号化ファイル（通称PPAP）利用廃止のお知らせ | ニュース | 東京水道株式会社

東京水道株式会社の各種ニュース、リリース情報です。

www.tokyowater.co.jp

ソフトバンク株式会社

当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ | 企業・IR | ソフトバンク

ソフトバンクの公式ホームページです。企業・IRの「当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ」をご紹介します。

www.softbank.jp

IIJ

PPAPに対する当社運用の変更について | インターネットイニシアティブ(IIJ)

「PPAPに対する当社運用の変更について」を掲載しています。

www.iij.ad.jp

GWSでPPAPを禁止する方法

さぁ本題です。

GWSで暗号化されたファイルを弾く設定を入れます。

「管理」⇒「アプリ」⇒「Google Workspace」⇒「Gmail」を選択

「コンプライアンス」を選択

添付ファイルのコンプライアンスにルールを追加します。

作るルールは2つです。

PPAP対策（送信）：社員が暗号化された添付ファイルを送信したときに弾くポリシー。メールの送信自体を拒否。
PPAP対策（受信）：先方が暗号化された添付ファイルを送信したときに弾くポリシー。メールは受信できるが添付ファイルは削除される。

PPAP対策（送信）

1. 影響を受けるメール

☐受信
✅送信
□内部 – 送信
□内部 – 受信

2. 各メッセージで検索するコンテンツを表す表現を追加する

次の一部がメールに一致する場合
✅暗号化された圧縮ファイルとアーカイブ

3. 上記の表現が一致する場合は、次の処理を行います

メールを拒否
拒否通知をカスタマイズ

セキュリティポリシーにより暗号化された添付ファイルを送信することはできません。下記を確認いただき別手段でのファイル送信をお願いします。
「ヘルプページなど」

PPAP対策（受信）

1. 影響を受けるメール

✅受信
□送信
□内部 – 送信
□内部 – 受信

2. 各メッセージで検索するコンテンツを表す表現を追加する

次の一部がメールに一致する場合
✅暗号化された圧縮ファイルとアーカイブ

3. 上記の表現が一致する場合は、次の処理を行います

メッセージを変更
✅メッセージから添付ファイルを削除
添付ファイルが削除されたことを受信者に通知するには、このテキストを追加します。

<<< セキュリティポリシーにより暗号化された添付ファイルは削除されました。 >>><<< 下記をご確認いただき別手段でのファイル送信を先方にご依頼ください。 >>>「ヘルプページなど」

社員の利便性について

上記の設定を入れることで暗号化された添付ファイルはメールに添付することができなくなります。

では、社員はどうやってファイルを先方と共有すればいいのでしょうか？

選択肢としていくつかあると思っています。

• 機密性の低いファイル
  • 正直そのまま添付でもいいかなと思っています。
  • メール自体は規定で暗号化されるので誤送信が怖いぐらい

送受信時のメールの暗号化 - Gmail ヘルプ

メールの送受信時には S/MIME を使用した高度な暗号化が行われ、送信メールは可能な限り自動的に暗号化されます。 重要: これらの手順は、お使いのアカウントで S/MIME が有効になっている場合にのみ機能します。 送信するメッセージが暗...

support.google.com

• 機密性の高いファイル
  • 一番最初に考えられるのはクラウドストレージ
    • ファイルのダウンロード制限や、いつでもアクセス権の削除が可能
    • 候補
      • GWS使っているなら当然Google ドライブは候補
      • その他にはBOXとかですかね。
    • ユーザーの利便性を落とさないなら・・
      • mxHEROとかですかね。

まとめ

今回はGWSで暗号化ファイルを弾く方法について書いてみました。

みなさんPPAP対策大変ですよね。頑張っていきましょうー！

最後までお読みいただきありがとうございました。