普段私はメールサーバからのレポートやCron Daemonからのメールくらいしか受け取りませんが、 近頃人間からメールを受け取る機会が増えたのでセキュリティについて語ろうと思います。

PPAPとは

Japanese Mail CultureといえばPPAPでしょう。

Password付きZIPファイルを送ります、Passwordを送ります、Angoka（暗号化）Protocol（プロトコル）

JIPDEC, くたばれPPAP！ ～メールにファイルを添付する習慣を変えるところから始める働き方改革～ より

日本企業においてはマナーなどと形容される謎文化です。

この文化の難点はただ一つ、パスワード付きzipファイルはセキュリティを通り抜ける点です。

試しに、7-Zipなどのツールで適当にパスワード付きzipを作ってVirus Totalあたりに投げてみてください。 普段なら賛否両論なソフトウェアもあっという間に安全なファイルに早変わりします。

生の状態のやばいファイル

PPAPされたやばいファイル

ちなみに、今回スキャンに掛けたShinoLockerはランサムウェアと同じ動作をするテスト用シミュレータです。 もし本物のランサムウェアが現場のセキュリティをかいくぐって職場に入り込んだら…ぞっとしますよね。

実際にEmotetの感染経路にPPAPが存在します。(IPAの記事)

PPAP撲滅派の動き

PPAPは百害あって一利なしの存在です。

人によっては誤送信防止という人もいるかもしれませんが、 パスワードをすぐに送る時点で誤送信防止かは怪しいですし、 そもそもパスワード付きzipのパスワードは簡易的なものが多く、総当たり可能な桁数であることがほとんどです。

例えばIIJはパスワード付きzipファイルが添付されたメールを受信サーバ側で破棄する運用に変更されました。

これを受け、私個人や、団体としてもPPAPを施されたメールをすべてブロックするか、 相手にZipファイルのハッシュ値を電話で確認するなどの手法でセキュリティ対策としています。

SPF/DKIM

SPF/DKIMは発信者特定の技術です。 双方の違いはSendGridが出している記事がとても参考になります。

これらを設定していない企業からのメールは本当にそのメールが当該企業から来たものなのかを判定することが難しいため、 一度電話やSMSなどの連絡手段を用いてメールが本人から送られたものなのかを確認する運用をしています。

注意点として、SPFレコードが設定されてるメールの場合、メールの転送を行うとFAILになります。 DKIMはこのような問題が起きないため、DKIMも必ず設定し、SPFはSOFTFAILにすることをお勧めしています。

また、DMARCを設定することによって、自社ドメインを騙ったメールが送信されているかを簡単に確認することができるので、設定をお勧めします。

文面

最後は送信者に対する忠告の意が大きいです。

Gmailなどのメールプロバイダでは文面でメールをブロックする場合があるそうです。

例えばハートが使われていたり、? 、 。が多用されていたりなど、 どう考えてもビジネスメールとして相応しくないメールは迷惑メールボックス行きになります。

また、直接的な金銭の要求なども迷惑メールボックス行きになります。

確かに、現代では個人同士のやり取りにメールを利用することは少なくなりましたし、 このフィルターは妥当に思えますが、親しい間柄のビジネスメールでは未だありそうなケースです。 送信者の方はご注意ください。