脱PPAPはどれほど進んだ? 無意味な理由や代替案も解説【メールセキュリティ調査】:メールセキュリティの状況(2024年)/前編
情報漏えいやサイバー攻撃の入り口になりやすいため、メールセキュリティは企業にとって欠かせない。どの程度の企業が対策を進めているのだろうか。
「電子メール」はビジネスシーンで欠かせないコミュニケーション手段だ。グローバルインフォメーションの調査レポート「電子メールセキュリティの世界市場規模調査&予測 2022-2029年」によると、世界の電子メールセキュリティ市場は2021年に約35億ドルと評価され、2022〜2029年には年平均成長率12.8%以上で成長すると予測されている。
利用頻度が高まればサイバー攻撃の対象になりやすくなる。メールの脆弱(ぜいじゃく)性を突いた攻撃や事故によって情報が漏えいするリスクは高い。
キーマンズネットが実施した「メールセキュリティに関する調査」(実施期間:2024年4月10日〜4月25日、回答件数:329件)」を基に、メールを介した情報漏えいリスクに対し、企業がどのような対策を進めているのか、現状を紹介する。
中小企業で急伸 迷惑メール対策ソリューションの導入企業が増加
メールセキュリティの第一歩は迷惑メール対策だろう。ビジネスメール詐欺やマルウェアを含んだものなど、危険なメールは少なくないからだ。前回(2023年4月実施)の結果と比較しながら、傾向を探った。
迷惑メール対策ソリューションの導入状況を調査したところ「導入済み」(70.8%)、「導入予定」(5.2%)を合わせて回答の約4分の3が対策していた(図1)。この結果を2023年4月に実施した前回調査と比較すると、全体では7.3ポイント増加していた。中でも100人以下の中小企業では、9.1ポイントと急速に導入が進んでいる様子が見て取れた。
迷惑メール対策ソリューションを「導入済み」とした回答者に対してソリューションの満足度を尋ねたところ「満足している」(14.3%)と「どちらかといえば満足している」(35.9%)を合わせた50.2%だった。だが、「どちらでもない」(36.5%)も少なくない(図2)。
今回の調査結果の特徴は前回の調査と比べて「満足している」がほぼ半減し、「どちらかといえば満足している」や「どちらでもない」に回答が流れている傾向があることだ。この1年で全体に満足度がやや下がっている。
フリーコメントの記述を見ると理由は3つあった。
誤検知
「迷惑でないメールが迷惑メールに振り分けられ、届かないメールになってしまっていた」
「保守関連の重要なアラートメールが迷惑メール、スパムメールフィルターによりドロップされてしまう」
すり抜け
「フィルターを潜り抜ける迷惑メールがなかなか減らない」
「検疫設定をすり抜けて迷惑メールを受信してしまう」
利用者の負担増
「添付ファイルの送信と相手方の受信が面倒になった」
「迷惑メールが特定のフォルダに格納され、定期的に削除しないと容量を圧迫する」
「ブラックリストやホワイトリストの登録しかできず、学習機能がない」
日常業務で毎日のように使うメールだからこそ、不満がたまりやすい側面もあるだろう。
脱PPAP企業の9割が「不満なし」
続いて、漏えいリスクが取り沙汰されている「PPAP」と呼ばれるファイルの送付形式について、脱PPAPへの対応状況を調査した。PPAPとは暗号化したパスワード付きZIPファイルを1通目のメールに添付し、その後復号用パスワードを2通目のメールで送信する手法だ。
なぜPPAPの利用をやめるべきなのか
PPAPの課題は幾つかある。代表的なものを紹介しよう。
(1)セキュリティとして無意味 1通目のメールを攻撃者が手に入れることができた場合、2通目のメールも同様に入手できる。つまり窃取対策として意味がない。
(2)誤送信対策になっていない 1通目と2通目を同じ方法で送信するため、本来の送り先以外にファイルを送ってしまうことがある。
(3)ウイルスチェックが機能しにくい ZIPファイルとパスワードが別のメールに分かれていると、メールのウイルスチェックやマルウェアチェックが機能しない場合がある。後ほど紹介する「Emotet」ではパスワード付きZIPファイルが使われることがあるため、このような状況はセキュリティを悪化させる。
(4)ZIPのパスワードは脆弱 ZIPのパスワードを解読するソフトウェアは誰でも入手できる。
(5)利便性を損なう 送信側、受信側ともZIPファイルの操作が必要になり、メールを送る際の手間が増える。手間を省こうとしてZIPファイルのパスワードを使い回していた場合、PPAPは極めて脆弱になる。
このようにPPAPには課題が多いため、2020年11月、内閣府・内閣官房では自動暗号化ZIPファイルを廃止した。これが一つのきっかけとなってPPAPを廃止する企業が増えた。
PPAPを使わずにファイルをやりとりする方法は幾つかある。まずはクラウドストレージの利用だ。共有リンクを記したメールを受信者に送ることでファイルを受信者が閲覧できる。この方法だとZIP処理は不要になり、クラウドストレージが備えるスキャン機能を使ってマルウェアを検知できる場合がある。誤送信対策としても優れている。共有リンクを無効にするだけでファイルを取得できなくなるからだ。セキュリティも利便性も向上するよい方法だと言える。なお、クラウドストレージを利用する以外に、ファイル転送サービスを利用して受信者にダウンロードリンクを送る方法もある。
これまで多くの企業がPPAPをメール送信時の漏えい対策として採用してきたため、全体では52.0%がまだ脱PPAPに対応できていない(図3)。
前回調査からの変化を見ると、この1年間で「PPAPを自由に使ってもよい」が17.6ポイント減少し「PPAPを禁止する」は2.3ポイント増加。加えて、PPAPを禁止している37.1%の内訳では「個人の努力にまかされている」(17.9%)を「メールシステム上も利用できない」(19.1%)が初めて逆転た。企業における脱PPAP化が進んだと言えるだろう。
もちろんこれまで使い続けてきたPPAPの運用を変更するとユーザーの不満が高まる可能性がある。しかし実際はPPAPが利用できないことに「満足している」(27.9%)、「どちらかといえば満足している」(24.6%)を合わせて過半数が満足だと回答しており、「どちらでもない」(36.1%)を加えると、約8割は特に不満がない(図4)。
PPAPの利用を停止したことで「パスワードの設定が面倒くさい」や「毎回ファイルをPUTしてURLを張り付けるのが面倒」といった意見もあったが、PPAP方式で必要な暗号化やメール分割送信などの手間と比較すると「脱PPAPで効率化できた」とする声のほうが多かった。
なお「相手のセキュリティ対策によってはダウンロードができない」や「セキュア便などのサービスを使用できない顧客がおり、PPAPが使えないと困るケースが残っている」など、送信先の環境によっては、現状PPAP形式を選択せざるを得ない局面も残っているようだ。
Emotet対策、100人以下の中小企業で「何もしていない」が多い
最後に、これまで多くの企業に甚大な被害を与えてきたマルウェア「Emotet」(エモテット)への対策状況を見ていこう。
Emotetは、不正なメールを経由してメールアカウントやメール情報などを窃取する他、他ウイルスへの二次感染を引き起こす。Emotet感染端末から実在するメールアドレスや正規のメール文面を詐取し悪用する。特定の標的があるというより、無差別な攻撃を続けている。
2014年に初めて検出されてから、何度も流行しており、Emotet自体の機能や対策をくぐり抜ける方法を「進化」させ続けてきた。2023年にも流行が起きており、決して過ぎ去った問題ではない。
10年にわたって流行してきたため、多くの企業で対策が講じられている。実際に「特に何もしていない」(13.7%)という回答と比べて、86.3%が何かしらの対策を講じていた(図5)。
対策手法は多岐にわたる。「エンドポイントでのマルウェア対策」(58.1%)や「組織内への注意喚起」(48.6%)、「メールセキュリティ製品によるマルウェア付きメールの検知」(44.7%)など、システム及び人的対応の両面で対応している企業が多い(図5)。
一方、従業員規模別でみると、100人以下の中小企業では「特に何もしていない」(22.0%)が全体平均より突出していてリスクが高い。セキュリティ対策に回す人員や予算の優先順位が下がりがちな中小企業をあえて狙うサイバー攻撃も増えているため、今後は中小企業においても最低限のメールセキュリティ対策が必要不可欠だという認識を持ってほしい。
以上、ここまでは迷惑メールやメールを介した情報漏えいへの対策状況を見てきた。後編ではメールを悪用した標的型攻撃を中心に企業におけるメールセキュリティ対策状況を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- セキュリティの基本はメールから、従業員と会社を守る「10の手法」とは
フィッシングメールやビジネスメール詐欺による被害はIPAが発表する「情報セキュリティ10大脅威 2022」の上位に位置付けられている。メールを起点とするサイバー攻撃は数多い。従業員と会社を守るには、まずメールセキュリティを固める必要があるだろう。どのような手法があるのだろうか。 - メールが全て信じられなくなった 「受信トレイ攻撃」の脅威
メールを使った攻撃では、「フィッシングメール」の被害が有名だ。だが、もっと危険な攻撃がある。ユーザーの受信トレイを丸ごと乗っ取ってしまう攻撃だ。 - 「迷惑メール」「PPAP」「Emotet」 メールの基本ができていない企業
企業におけるコミュニケーション手段として重要な「メール」は、情報漏えいやサイバー攻撃の入り口でもある。メールを守るための基本はどの程度浸透しているのだろうか。