メールセキュリティ対策｜添付ファイルのリスクと安全な共有方法

メールの添付ファイルは、業務の効率化に貢献する便利な機能である一方、情報セキュリティ上の大きな脅威となる側面も持っています。
主なリスクとして、マルウェア感染の侵入経路、誤送信による情報漏えい、そして通信経路上での盗聴が挙げられます。

これらのリスクは、企業の信用や事業継続に深刻な影響を及ぼす可能性があるため、従業員一人ひとりがメール添付の危険性を認識し、適切な対策を講じなければなりません。

リスク1：マルウェア・ウイルス感染の侵入経路となる

攻撃者は、請求書や業務連絡などを装ったメールに、ウイルスを仕込んだファイルを添付して送りつけます。
特に、マルウェアの一種であるEmotet（エモテット）は、過去にやり取りしたメールの返信を装うなど手口が巧妙化しており、受信者が疑いなくファイルを開いてしまうことで感染が拡大します。

添付ファイルの種類は、実行形式のファイル（.exe）や、マクロを悪用したWord、Excelファイルなど多岐にわたります。
一度感染すると、PC内の情報を窃取されたり、他のコンピュータへの攻撃の踏み台にされたりする危険があります。

関連記事：Emotetへの対策について｜感染時のリスクや具体的な対処法を解説

リスク2：メールの誤送信による重大な情報漏えい

人為的なミスによるメールの誤送信は、情報漏えい事故の主要な原因の一つです。
宛先を間違えたり、「To」と「Bcc」を誤って設定したりすることで、本来送るべきではない相手に機密情報や個人情報を含むファイルを送ってしまうケースが後を絶ちません。

一度メール送信ボタンを押してしまうと、後から取り消すことは極めて困難です。
添付ファイルに顧客情報や新製品の設計図といった重要情報が含まれていた場合、たった一度のミスが企業の信頼を大きく損ない、損害賠償問題に発展する可能性も否定できません。

関連記事：メールの誤送信を防ぐ対策とは？原因や損害、ビジネスメールの誤送信の例まで解説

リスク3：通信経路上での盗聴やデータの改ざん

メールの送受信に使われるプロトコル（SMTPやPOP3）は、標準では通信が暗号化されていません。
そのため、特にセキュリティ対策が施されていない公衆Wi-Fiなどを利用した場合、通信経路の途中で悪意のある第三者にメールの内容を盗み見られる「盗聴」のリスクが存在します。
メール本文だけでなく、添付されたファイルも同様に盗聴の対象となり得ます。

さらに、盗聴だけでなく、通信の途中でファイルの内容を不正に書き換えられる「改ざん」の危険性も考えられ、誤った情報に基づいて業務が進められてしまう事態を招く恐れもあります。

かつて多くの企業で推奨されていた、ファイルをパスワード付きZipで暗号化して送り、別のメールでパスワードを通知する「PPAP」という手法は、現在ではセキュリティ上の問題点から非推奨とされています。

政府機関や大手企業が相次いでPPAPの廃止を宣言した背景には、この手法が持つ複数の脆弱性が明らかになったことがあります。利便性の裏に隠れた危険性を理解し、より安全な方法へ移行することが求められます。

よくわかる脱PPAP

「PPAPとは何か？」「なぜ脱PPAPが必要なのか？」PPAP問題を正しく理解したい方、適切なメールセキュリティ対策を検討されている方へ、正しい理解と負担の少ない解決策をご説明いたします。

理由1：ウイルス対策ソフトによる検知をすり抜けてしまう

パスワードで暗号化されたZipファイルは、その中身をスキャンできないという特性を持ちます。
そのため、企業のネットワーク出入り口に設置されたウイルス対策ソフトやサンドボックスなどのセキュリティ製品は、暗号化された添付ファイルを脅威のないファイルとして通過させてしまいます。

攻撃者はこの仕組みを悪用し、マルウェアを仕込んだファイルをパスワード付きZip形式で送りつけます。
結果として、危険なファイルが受信者の手元まで届いてしまい、受信者がパスワードを入力してファイルを開いた時点でマルウェアに感染するリスクが生じます。

理由2：パスワードが簡単に解読される可能性がある

PPAPで利用されるZipファイルの暗号化方式は、現在のコンピュータの計算能力をもってすれば、比較的容易に解読が可能です。
特に、単純な文字列や短い桁数のパスワードが設定されている場合、「ブルートフォース攻撃（総当たり攻撃）」と呼ばれる手法で短時間のうちに特定されてしまう危険性をはらんでいます。

攻撃者がメールを盗聴し、パスワード付きZipファイルを入手した場合、強度の低いパスワードでは暗号化の効果がほとんどなく、ファイルの中身を容易に閲覧されてしまう可能性があります。

理由3：同じ経路でパスワードを送るため盗聴に弱い

PPAPの最大の問題点は、暗号化されたファイルとそれを解読するためのパスワードが、どちらもメールという同じ経路で送られる点にあります。
通信経路上で悪意のある第三者に盗聴されていた場合、ファイルが添付されたメールとパスワードが記載されたメールの両方が盗み見られてしまいます。

これは、金庫とその鍵を同じ箱に入れて送るようなものであり、攻撃者の手に渡れば容易に中身を解読されてしまいます。
このため、暗号化しているにもかかわらず、情報漏えいを防ぐ効果がほとんど期待できない状態となります。

PPAPに潜むリスクが広く認識されるようになり、多くの企業がより安全なファイル共有方法への移行を進めています。
セキュリティ対策を強化しつつ、業務の利便性を損なわない代替手段を導入することが重要です。

ここでは、脱PPAPの実現に有効な5つの具体的な方法を紹介します。
自社のセキュリティポリシーや業務内容に合わせて、最適な方法を選択・組み合わせて利用することが望ましいです。

方法1：通信経路を暗号化する （TLS通信）

TLS通信を導入して、通信経路を暗号化する方法もあります。
TLS（Transport Layer Security）は、インターネット上を流れるデータを暗号化し、第三者による盗聴や改ざんを防ぐための仕組みです。Webサイトの閲覧や、クレジットカード情報を入力する場面など、さまざまなサービスで広く使われています。

メール送信時にTLS通信を利用すると、送信者と受信者のメールサーバー間の通信が暗号化され、メール本文や添付ファイルの内容が外部からは読めなくなります。
ファイルは暗号化せずそのまま送信されるため、受信側でのウイルスチェックや内容確認もスムーズに行えます。

このようにTLS通信は、メールの利便性を保ちつつ、情報漏えいリスクを抑えるための基本的なセキュリティ対策の一つとして活用されています。

方法2：クラウドストレージの共有リンクを活用する

Google DriveやMicrosoft OneDrive、Boxといった法人向けのクラウドストレージサービスを利用する方法は、最も一般的な代替手段の一つです。
ファイルをクラウドストレージにアップロードし、そのファイルへのアクセス用リンクを生成してメールで相手に通知します。

この方法の利点は、リンクに対してパスワード設定や有効期限の設定、アクセス権限（閲覧のみ、編集可など）の付与といった詳細なセキュリティ制御が可能な点です。
また、大容量のファイルも容易に共有でき、送受信のログも管理できるため、セキュリティと利便性の両立が図れます。ただし、受信時のウイルスチェックが不可能なこと、メールでの検索性が下がるなどのデメリットもあります。

方法3：法人向けのファイル転送サービスを利用する

セキュリティ機能を強化した法人向けのファイル転送サービスも有効な選択肢です。
これらのサービスは、アップロードされたファイルのウイルスチェック、通信経路およびサーバー上でのファイル暗号化、ダウンロード時のパスワード要求、アクセスログの取得といった、ビジネス利用に求められる高度なセキュリティ機能を標準で備えています。

サービス上で発行されたダウンロードURLを相手に通知するだけで、安全にファイルを共有できます。
一時的なファイルの受け渡しに特化しており、取引先など外部とのやり取りが多い場合に特に適しています。ただし、こちらも方法1と同様のデメリットもあります。

方法4：添付ファイルを自動で無害化するソリューションを導入する

メールゲートウェイ型のセキュリティソリューションを導入し、添付ファイルの送受信を自動的に安全化する方法です。
このソリューションは、送信メールの添付ファイルを自動的にサーバー上で分離し、ダウンロード用のURLに変換して相手に届けます。

受信時には、添付ファイルからマクロなどの実行可能なコンテンツを除去する「無害化」処理を行います。

利用者自身が特別な操作をする必要がなく、意識せずにセキュリティを確保できる点が大きなメリットです。

組織全体のメールセキュリティポリシーを統一し、人的ミスを減らす効果が期待できます。ただし、こちらもPPAP同様に同じ経路でパスワードを送るため盗聴に弱いというデメリットがあります。

怪しいメールを、ひと目で

クラウド型標的型メール攻撃対策サービス「Active! zone SS」。パスワード付き添付ファイルを用いた攻撃も可能で、サンドボックスとの組み合わせによりEmotet（エモテット）対策に最大限の効果を発揮。

方法5：ファイル自体を強固なパスワードで暗号化する

PPAPが問題なのはZipIPファイルの暗号化方式の脆弱性とパスワードの通知方法にあります。
そのため、ファイル自体をより強固な暗号化方式（AES-256など）で保護する方法も考えられます。
例えば、Microsoft Office製品には高レベルの暗号化機能が搭載されています。

この方法を用いる際は、推測されにくい複雑なパスワードを設定することが不可欠です。
最も重要なのは、設定したパスワードをメールとは全く別の経路、例えばビジネスチャットや電話、口頭などで伝えることです。
これにより、通信を盗聴されてもファイルとパスワードが同時に漏えいするリスクを回避できます。

巧妙化するサイバー攻撃から身を守るためには、送信側の対策だけでなく、受信者一人ひとりの注意深さが最後の砦となります。
最新のセキュリティシステムを導入していても、それをすり抜けてくる脅威は存在します。

不審なメールに気づき、被害を未然に防ぐためには、添付ファイルを安易に開く前にいくつかの項目をチェックする習慣を身につけることが極めて重要です。

送信者のアドレスやドメインは正規のものか確認する

メールを開いたら、まず送信者のメールアドレスを詳細にチェックしてください。
表示名が知人や取引先のものであっても、アドレス自体が偽装されている可能性があります。

特に、正規のドメイン名に酷似したドメイン（例：「example.com」と「examp1e.com」）や、普段やり取りのないフリーメールアドレスから業務に関する重要な連絡が来た場合は、なりすましの可能性が高いです。
少しでも違和感を覚えたら、ファイルを開かずに送信元に別の手段で確認を取るなどの対応が必要です。

件名や本文に不自然な日本語や表現がないか確認する

攻撃メールの中には、海外の攻撃者が翻訳ツールを使用して作成したものも多く、件名や本文に不自然な日本語の言い回しや文法の間違い、誤字脱字が見られることがあります。
また、「緊急」「重要」「請求書」といった受信者の注意を引く単語を使い、焦らせて添付ファイルを開かせようとする手口も典型的です。

普段のやり取りの文面と比較して、文体や敬語の使い方に違和感がないかチェックすることも、不審なメールを見抜くための重要なポイントになります。

ファイルを開く前にセキュリティソフトでスキャンする

送信者や内容に少しでも疑わしい点がある場合、あるいは送信元に心当たりがない添付ファイルは、決して直接開いてはいけません。
まず、ファイルをPCのデスクトップなどに一度保存し、インストールされているセキュリティ対策ソフトを使ってウイルススキャンを実行してください。

多くのセキュリティソフトには、ファイルを右クリックして個別にスキャンする機能があります。
この一手間をかけることで、万が一ファイルにマルウェアが仕込まれていた場合でも、実行前に検知・駆除し、感染被害を未然に防ぐことが可能です。

メールでファイルを送る際は、セキュリティの確保だけでなく、受信者側への配慮もビジネスマナーとして非常に重要です。
相手の受信環境や業務の効率を考慮したメール送信は、円滑なコミュニケーションを促し、良好な信頼関係を築く上で欠かせません。

セキュリティ対策と合わせて、基本的なマナーを実践することで、より丁寧でプロフェッショナルな印象を与えることができます。

大容量のファイルは送る前に相手に確認を取る

受信側のメールサーバーには容量制限が設けられていることが多く、数MBを超えるような大容量ファイルを予告なく送信すると、相手が受信できなかったり、メールボックスの容量を圧迫してしまったりする可能性があります。

そのため、写真データや動画、サイズの大きいPDF資料などを送る場合は、事前に「〇MB程度のファイルをお送りしてもよろしいでしょうか？」と一言確認を取るのがマナーです。
相手の了承を得るか、もしくはクラウドストレージの共有など、代替手段を提案する配慮が求められます。

ファイル形式は誰でも開きやすい一般的なものを選ぶ

ファイルを添付する際は、相手のPC環境を考慮し、誰でも閲覧できる可能性が高い一般的な形式を選ぶことが基本です。
例えば、WordやExcel、PowerPointといったMicrosoft Office形式や、環境に依存しないPDF形式などが推奨されます。

専門的なCADソフトやデザインソフトの独自形式など、特定のアプリケーションがないと開けないファイルは、相手が対応できない場合があるため避けるべきです。
もし特殊な形式で送る必要がある場合は、事前に相手がそのファイルを開けるか確認しておくと親切です。

ファイルの内容がひと目でわかるようなファイル名を付ける

添付するファイルの名称は、受信者がファイルを開かなくても内容を推測できるような、具体的で分かりやすいものにしましょう。
「資料.pdf」や「20240101.docx」のような名前ではなく、「【株式会社〇〇】2024年1月度定例会議事録.pdf」のように、日付、プロジェクト名、書類の種類などを盛り込むと親切です。

これにより、受信者はメールボックス内でファイルを管理しやすくなり、後から探し出す際の手間も省けます。
相手の業務効率化に繋がる、細やかな配慮の一つです。

ここでは、メールの添付ファイルに関するセキュリティについて、頻繁に寄せられる質問とその回答をまとめました。

パスワード付きZipファイル（PPAP）はもう絶対に使ってはいけませんか？

絶対ではありませんが、ウイルス検知の回避やパスワード漏えいといった複数のセキュリティリスクがあるため、政府機関や多くの企業で使用が禁止・非推奨となっています。

代替手段がなくやむを得ず利用する場合は、パスワードをメールとは別の経路（電話やチャットなど）で伝える必要があります。

無料のファイル転送サービスを使ってもセキュリティ上問題ありませんか？

無料サービスは、セキュリティ機能が不十分であったり、運営元の信頼性が不明確であったりするため、ビジネスでの利用は推奨されません。

情報セキュリティの観点からは、通信やファイルの暗号化、監査ログ機能などが充実した法人向けの有料サービスを選ぶべきです。
無料ツールの利用は避けてください。

メールに添付するファイルの容量は、何MBまでがマナーですか？

厳密なルールはありませんが、一般的に2MBから3MBまでがビジネスマナーとしての目安とされています。

これを超える容量のメール添付は、相手の受信サーバーに負荷をかける可能性があるため、クラウドストレージやファイル転送サービスの利用を検討するのが望ましいです。

メールの添付ファイルは、マルウェア感染、情報漏えい、盗聴といった多様なセキュリティリスクを内包しています。
かつて標準的だったPPAPは、その脆弱性から現在では非推奨とされており、より安全なファイル共有手法への移行が不可欠です。

代替策としては、アクセス制御が可能なクラウドストレージの活用や、セキュリティ機能が充実した法人向けファイル転送サービスの利用が有効です。
また、送信時の対策だけでなく、受信時にも送信元や内容を慎重に確認する意識が求められます。

クオリティアのメール誤送信防止サービス「Active! gate SS」はPPAPの解決策である「TLS確認機能」を提供しています。利用シーンやニーズに合わせて選択できる機能が豊富で、無料トライアルも実施しています。メールや添付ファイルのやり取りの安全性を高めるために、ぜひ利用してください。

資料請求はこちら お問い合わせはこちら 無料トライアルはこちら

自社の運用状況を鑑み、適切なツールとルールを導入し、安全な情報共有体制を構築してください。