セキュリティ
パスワード付きZIPは危険?
「パスワード付きZIPなら安全」と思っていませんか?実は、パスワード付きZIPファイルには深刻なセキュリティリスクが存在します。
リスク1: マルウェアの温床
2020年〜2021年にかけて猛威を振るったEmotetは、パスワード付きZIPファイルを悪用して拡散しました。暗号化されたZIPファイルはメールゲートウェイのウイルスチェックをすり抜けるため、マルウェアの配布手段として悪用されます。多くの企業がこの経路で被害を受けました。
リスク2: ZIP暗号化の脆弱性
標準的なZIP暗号化(ZipCrypto)は既知の暗号攻撃に脆弱です。ファイルの一部が既知であれば(例えばPDFヘッダー)、暗号化を突破できます。AES-256暗号化ZIPであっても、パスワードが短い場合は総当たり攻撃で解読されるリスクがあります。
| 暗号化方式 | 安全性 |
|---|---|
| ZipCrypto | 脆弱(既知平文攻撃) |
| AES-128 ZIP | やや安全(短いパスワードに注意) |
| AES-256 ZIP | やや安全(短いパスワードに注意) |
| AES-256-GCM (SecureMint) | 強固(認証付き暗号化 + PBKDF2) |
リスク3: 同一経路でのパスワード送信
PPAPでは、ZIPファイルとパスワードが同じメール経路で送られます。メールを傍受できる攻撃者は両方を入手できるため、暗号化の意味がありません。これは「鍵のかかったスーツケースと鍵を同じ人に渡す」のと同じです。
リスク4: 監査証跡がない
パスワード付きZIPでは、誰がファイルを開いたか、何回開かれたかを知る手段がありません。情報漏洩が発生しても検知できません。SecureMintのPro機能では、ダウンロード日時・IPアドレス・ISP情報まで追跡できます。
日本政府の対応
2020年11月、当時の平井デジタル大臣が中央省庁でのPPAP廃止を宣言。以降、大手企業を中心にPPAP廃止の動きが加速しています。2026年には金融庁も金融機関にPPAP廃止を要請しました。
安全なファイル共有に切り替えましょう
SecureMintならE2E暗号化リンク1つで安全にファイルを届けられます。登録不要・無料。