インテリジェントウェイブ　メールマガジンVol.23

2021.12.28｜

更新日：2022.01.05

▼本日のトピックス▼（目次）

セキュリティニュース「広がるPPAP廃止の動き！各社の対応状況と移行後の課題とは？」

2020年11月に平井卓也デジタル改革相が内閣府と内閣官房でPPAPを廃止すると発表してから、他の官公庁や民間企業にも廃止の波が広がっています。

暗号化ファイルとパスワードをメールで送る「PPAP」ですがその手法には多くの問題があると指摘されながらも多くの企業で使われてきました。お国からのお達しでようやく廃止の動きが進んできましたが、今回の記事ではPPAPの問題点を振り返るとともに、各企業・官公庁の廃止の動きについてまとめていきます。

1. PPAPとは？その問題点とは？

そもそもPPAPとはどういう手法なのかを今一度振り返りましょう。

PPAPはファイルを「パスワード付きzipファイル」にして1つ目のメールに添付の上送信し、それに続く形でパスワードを2つ目のメールで送信する手法です。

PPAPという名前は以下の頭文字からとっています。

Password付zip暗号化ファイルを送ります
Passwordを送ります
Aん号化（暗号化）
Protocol
(Aん号化(暗号化)の部分がかなり無理やりなのでピコ太郎ブームの時に名付けられたのが丸わかりですね)

ファイルを暗号化しているため盗聴防止策として有用に見えそうですが、いくつか問題点があります。

まず一つ目はそもそも一通目のメールを盗聴されていた場合は、二通目のパスワードメールも盗聴されている可能性が高いため、盗聴防止策として意味をなしていないということです。

本来はメール以外の別の手段(電話やFAX等)でパスワードを通知する必要があるのですが、利便性も考慮したため、このような形となってしまいました。

二つ目はマルウェア感染のリスクです。添付ファイルのzip化によって、仮に添付ファイルがウイルス等に感染していたとしても、アンチウイルスソフトウェア等で検知・防御することができず、感染につながってしまう可能性があります。これではセキュリティ対策として導入したものが、逆にセキュリティレベルを下げるという皮肉な結果となってしまいます。

このように様々な問題点があるPPAPですが、前述の通り平井大臣が廃止を発表してから、各企業・官公庁で廃止の動きが続いています。続いてはその動きについてまとめます。

2. 各企業・官公庁の対応状況

①日立グループの事例

日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止すると、今年の10月に発表しました。*1

日立グループからの送信だけではなく、受信に関しても廃止すると述べており、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されるとのことです。

代替案に関しては「適宜担当者にご相談」となっており具体的な代案は公開されていませんでした。

また、子会社の日立ソリューションズが「秘文」ブランドで販売していた、メールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了しており、保守サポートも2022年6月で終了するとしています。*2このように同グループでは以前からPPAP廃止の動きを進めていたことが伺えます。

②文部科学省の事例

文部科学省は2022年1月4日以降のすべてのメール送受信において、ファイル添付を廃止すると発表しました。代替案としてクラウドストレージサービスBoxに添付ファイルを自動保存し、送信先からダウンロードする仕組みを導入するとしています。*3

PPAP廃止の背景としては、パスワード付きZIPファイルの添付により、Emotetなどのマルウェアがセキュリティチェックを潜り抜ける可能性を踏まえ、セキュリティ強化のため踏み切ったと述べています。

③IIJの事例
IIJ(インターネットイニシアティブ)は11月15日にPPAPを廃止する方針を示しました。*4廃止の時期や廃止後の運用については以下のように示しています。

2022年1月25日以：従来通り、パスワード付きzipファイルが添付されたメールを受信する
2022年1月26日以降：パスワード付きzipファイルをフィルタにより削除し、メール本文のみ受信する

変更に至った背景としては文部科学省と同様に、パスワード付きzipファイルがウイルススキャンをすり抜けてしまうことを挙げています。

廃止後のファイル共有手段については、クラウドストレージ（主にBox）を利用するとしています。*5具体的には社外向けに限定したフォルダを作成し、そのフォルダのみ、外部共有用のリンクを発行できるようにしています。

3. 移行後の課題－クラウドストレージなら安全？

いくつかPPAP廃止の事例を取り上げましたが、その多くで移行後のファイル共有の手段にクラウドストレージを利用するとしています。クラウドストレージは有用な代替案となりますが、利用に当たっては注意が必要です。

まずは、ストレージのURLの共有方法です。メールにURLとパスワードを記載して共有することがあるかと思いますが、この場合、PPAPと同様にメールを盗聴されたときにクラウドストレージに不正アクセスされ、ファイルを盗み取られてしまうことが考えられます。

このような事態にならないように以下の対策を行いましょう。

クラウドストレージのURLとパスワードをセットで送らず、事前にパスワードを両社間で取り決めておく。
ストレージ内に個社用に限定したフォルダを作り、ファイルを共有する際は、フォルダパスだけ共有する。受信者は事前に共有を受けている自分のアカウントでアクセスし、ファイルを取得する。
ストレージを利用するアカウントの認証に多要素認証を導入する。これにより万が一ID/パスワードが漏えいしてしまった場合も、他の認証要素がないとそのアカウントへのアクセスができない状態となり、セキュリティレベルを担保できる。

また、クラウドストレージを利用する場合もマルウェア感染の対策は必要です。クラウドストレージ自体にもマルウェア対策機能は搭載されていますが限定的なものとなっています。そのため最新の脅威は止めることは難しいです。

また、ストレージサービスからの情報漏洩への対策として、アップロードするファイルを暗号化することもありますが、この場合もPPAPと同様でウイルススキャンをすり抜けてしまうという問題点があります。

これらの問題に対しては以下の対策を検討しましょう。

最新のマルウェア・脅威にも対策できるエンドポイント製品の導入
クラウドストレージから端末にファイルを引き込む前にファイルの無害化を行う。
※暗号化ファイルにも対応できるソリューションが好ましい

クラウドストレージの利用はPPAPと比較して、利便性・セキュリティ面で優れた代替案となりますが、利用する場合は上記の注意点を考慮しながら運用していきましょう！

4. おわりに

本記事ではPPAP運用の課題、各社の廃止の動き、クラウドストレージ運用での注意点をまとめました。皆様も既にPPAP廃止済み、もしくは廃止に向けて動いている最中の方もいらっしゃるかもしれませんが、移行後の運用でも注意しなければいけない観点はありますので、本記事を参考にご注意いただけたらと存じます。

セキュリティニュース「Log4Jの脆弱性、通称：Log4Shell。単なる『ログ』が容易に攻撃コードに」

今年も終わりに近づいてきた12月。Log4Jの脆弱性「CVE-2021-44228」、通称：Log4Shellが公表されて以降、複数回に及ぶ修正パッチのリリース含め当該関連ニュースが今も世間を騒がせています。

読者の方の中にもご利用されている製品やサービスにおいて当該脆弱性に依る影響有無の調査と必要な対策を実施されている方が多くいらっしゃるのではないでしょうか。

本記事では当該脆弱性の持つ危険性と必要な対策を簡単にまとめようと思います。

1. Log4Jと脆弱性「CVE-2021-44228」(Log4Shell)の概要

この「Log4J」はJava製のアプリやゲーム、クラウドサービス等で多く採用されているロギングライブラリで多くのエンタープライズ向けアプリケーションでも利用されています。

代表的な例としてはApache Struts, Flume, Kafka, Flink, Tomcat, Solr、ならびにVMware vCenter など*6、その他多くでも影響を受けるアプリや製品が公表され、各所より当該脆弱性に依る影響範囲や必要な対策がアナウンスされています。

またゲーム分野では「Minecraft」のJava版において同ライブラリが利用されていることもありライブラリバージョン1.7未満以外は脆弱性の影響を受けるとして話題となりました。*7

ジャンルを問わず幅広く利用される開発プラットフォームであるJavaのライブラリであるLog4Jが幅広く流布していること以外にも当該ライブラリの脆弱性Log4Shellのリスクスコアが急速に引き上げられた別の背景・要因が考えられます。

それは普通はプログラム内にテキストとして保存されている『ログ』に記録させさえすれば、任意のリモートコードを実行(Remote Code Execution: RCE)*8でき、容易に多種多様な攻撃を再現させ得る可能性も危険視されているという点です。

今回脆弱性が指摘されたLog4Jのバージョンにおいて「JDNI Lookup」という機能があり、その動作仕様が攻撃者に悪用されてしまうというのが概要です。

読者の皆様もご存じの通り既に脆弱性が公開されてから時間もたっており、日本国内でも多くの方が当該脆弱性について、ブログ等記事を発信されていますので、攻撃のロジック等より詳しく知りたいという方は、是非調べてみていただけたらと思います。

個人的には12月13日の記事ではありますが背景知識を入れさせていただくにあたりpiyokangoさんの「Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた」がわかりやすかったかなと思います。是非ご参考として頂けたらと思います。

2. 打つべき対策

当該脆弱性「CVE-2021-44228」(Log4Shell)と今回の記事では触れなかったですが、その後付帯して報告されてきた脆弱性2件に対する対策としては、既に各所からアドバイザリが出ている通り、12月17日時点での最新版「Log4J 2.17.0」にバージョンアップをすることが基本となりますが、即座にバージョンアップを施せない場合は、これもまた皆様も既に耳タコかもしれませんがリモートのLookup機能を無効化にする、またはファイアーウォール等で不正なサーバへのリモートアクセスをフィルタするなどの応急処置*7も提示されています。

参考情報の1つとして本記事末尾にSANS Instituteからの公開資料のURLを置きますので、ご参考としていただけたらと思います。

3. おわりに

今回は広く利用されるJavaのロギングライブラリの脆弱性Log4Shellについて記載してみました。用途問わず幅広く利用されるライブラリであるがゆえ、また『ログ』に任意のコードを残せさえすれば容易に攻撃を成立させられることから、攻撃方法の種類も相当多種多様なものが想定できます。

この機会に是非皆さんもご利用の製品の提供者等からのアナウンス等から自社・組織に必要な対策の実施状況を今一度見直してみていただけたらと思います。

最後に、12月21日現在では複数のセキュリティ診断ベンダから当該脆弱性診断やフォレンジックの無料サービスが提供されています。以下ご参考までに各社サービスの一例を記載します。

※本メールマガジン配信時にサービス提供を終了している可能性もございます。
　詳細は各サービス提供社の紹介ページ等をご確認ください。

LAC：「Apache Log4j脆弱性無料診断サービス」提供内容
1）Webアプリケーションに対するリモート診断を実施
2）緊急対策チェックシートの提供

SHIFT SECURITY：「Log4j向け無償セキュリティ診断・フォレンジック調査」提供内容
1) Webアプリケーションに対して脆弱性の概念実証コードを送信し、サーバの応答を確認
2) Log4Shell脆弱性(CVE-2021-44228)により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査

2021年メルマガご愛読のお礼と2022年に向けて！

今年も様々な出来事がありました。去年に引き続きCOVID-19の感染拡大や、そのような状況の中で開催された東京オリンピック、大谷選手のMVP受賞などもあり、最後は前澤友作氏が宇宙に飛び立ちました。

この中でも一番の注目を集めたのはやはりコロナウイルス関連のニュースでしょう。

記事執筆時点(12/20)では感染も落ち着いてきており、これまでの日常に少しずつ戻ろうとしていますが、オミクロン株の存在もあり、依然として予断を許さない状況です。

一方サイバーセキュリティの界面では、コロナ関連のフィッシング詐欺やコロナワクチン予約システムへの攻撃等がありました。また、ランサムウェアの脅威は以前よりも増しており、皆様も対応に苦慮されたことかと存じます。弊社のメールマガジンがこのような対策のための情報収集の一助になっていれば幸いです。

読者の皆様、本年はIWIのセキュリティメールマガジンをご愛読いただきありがとうございました。本年は途中からライター陣が入れ替わり、記事の内容や特色も少し変わってきたのかなと思いますが、いかがでしたでしょうか？ぜひ記事についてのご意見等も頂戴出来ますとうれしく思います。

来年も最新のセキュリティニュースやトレンドをお届けいたしますので、ぜひ引き続きご覧いただければと思います。
ライター一同

攻撃を成立させない新発想のエンドポイントセキュリティMorphisec 資料ダウンロードはこちら

インテリジェントウェイブ メールマガジンVol.23