個人情報や機密情報を含むファイルをZIP圧縮してパスワードを付与し、メール添付で送信。追ってパスワードをメールで通知。巷でPPAPと呼ばれるこの方式は実は意味がなく、そしてとても危ないのです。
パスワード付きZIPファイルは簡易パスワード機能を用いているため、何度でもパスワード入力が可能です。そのため「○回間違えるとロック」とはならず、パスワードの総当たりで開けてしまいます。また、ファイルが開けないため、PCのウィルス対策ソフトはウィルススキャンができません。
この仕組みを悪用したウィルスが2021~2022年に大流行しました。時は新型コロナ禍。ワクチンに関する文面で、差出人は感染したPCのアドレス帳から流用。「知り合いから関係ありそうな日本語のメールが、パスワード付きZIPファイル添付で届く」ので、日本人が拡散したとも言われています。あまりの流行に、一般社団法人JPCERTコーディネーションセンターは緊急情報の発出とともに、無料の検知ツールを公開しました。
こういった経緯もあり、最近ではパスワード付きZIPファイルが添付されたメールの受取りを拒否する企業が増えていますし、日本政府も推奨を止めています。代替手段はクラウドストレージにファイルをアップロードし、それをダウンロードするためのパスワードを通知する方法です。ファイルにパスワード設定がないのでダウンロード時にウィルススキャンが実施され、SSL暗号化されるので通信途中に盗み見される心配もありません。
時代遅れどころか、ウィルス配布役とも誤認識されるパスワード付きZIPファイルの添付メール、そろそろ止めましょう。
