【廢除電子郵件附件以ZIP加密碼傳送,日本內閣辦公室帶頭做】過去日本為了郵件中機密文件的保護,慣用以附件ZIP加密碼方式(現在普遍稱PPAP)傳送機密資訊,並成為相當普遍的職場文化,但此作法如今卻受爭議,自2020年日本社會檢討聲浪竄起,為了加速改變,日本數位化改革大臣平井卓宣布,內閣辦公室與內閣秘書處在2020年11月26日廢止PPAP。(圖片來源/平井卓也YouTube頻道)

許多企業職員上班第一件事,就是打開電子郵件收信,如果收到一封電子郵件,附件是以密碼保護的壓縮檔,並且你從第二封郵件獲得可解開的密碼,你會覺得麻煩還是安全?

為了避免資料被看光,機敏資料傳輸有很多保護方法,除了常見的各式郵件安全加密方案,還有企業檔案分享雲(EFSS)、安全檔案傳輸管理(MFT),以及DRM等文件加密管理系統的外發機制等。

而在電子郵件安全領域中,也存在不少郵件加密的應用方式,避免企業員工以電子郵件傳遞資訊時,在網際網路上,都是未經加密防護的郵件與附件。

以電子郵件面向而言,利用壓縮檔與設定密碼的方式,將郵件附檔在寄送時進行壓縮與設定密碼的步驟,就是頗為簡單的保護機制之一,甚至衍生出自動化的機制,讓企業員工在寄送電子郵件時,可以自動將附件以ZIP加密碼,不僅密碼可以自行設定或隨機產生,企業若只想以方便為主,他們所使用的系統也能選擇讓密碼通知信自動寄出。

然而,近兩年來,這樣的傳送資料保護方法,在日本引發不小爭議。

這是因為,附件ZIP加密碼的方式早已深入當地職場文化,是日本政府機關與企業普遍存在的傳送資料保護習慣,目的是防止資料被竊取,以及寄錯郵件導致文件外洩。

這種附件ZIP加密碼的資安防護方式,在日本已行之有年,當地簡稱此種作法為PPAP。談到這四個字母,或許,大家立即聯想到幾年前日本風行的一首歌Pen-Pineapple-Apple-Pen,但在文件傳送的應用上,簡單來說,PPAP是由4個詞所組成,Password付きzipファイルを送ります、Passwordを送ります、An号化、Protocol(プロトコル),若對應成英文,會是4個關鍵字,分別是:Password、Password、Anngouka、Protocol,就是指將電子郵件夾帶的附件,透過ZIP加密壓縮,也就是將檔案設定密碼保護,並同時打包為ZIP檔案格式,(而設定密碼保護的背後運作,ZIP格式支援對稱式加密,包括AES與ZipCrypto傳統加密演算法。)然後,再將可以解壓縮的密碼,透過另一封郵件發給對方用於解密。

這樣的作法,確實夠簡便,國內有些企業可能也曾使用,但為何會引發爭議?這是因為越來越多人提出質疑,認為這種保護方式不必要或無效。

而就現況來看,這種原本在日本職場盛行的PPAP作法,最近確實開始掀起一股廢除的風潮。舉例來說,日立集團(Hitachi)從2021年12月13日起,將不再收發附帶密碼的ZIP檔的電子郵件;電信公司Internet Initiative Japan(IIJ)也宣布在今年1月26日之後,接收外部郵件時,將會濾掉帶有密碼的壓縮檔。近日,日本軟體銀行(SoftBank)也在2月15日宣布,當日下午3時後廢除使用PPAP,員工電子郵件不再使用帶有密碼的壓縮檔,收到這類郵件,附檔將會自動刪除,並且寄件者不會收到通知。

儘管機敏文件安全傳輸有許多可行的做法,但日本目前的公民營機構面臨這樣的情況,勢必在2022年將持續發酵,國內企業與政府也可從中借鏡,確認目前是否有這樣的爭議,並且反思過去我們熟知的資安防護常識,現在是否真的合乎時宜?

用附件ZIP加密碼是日本文件線上傳遞慣例,為何宣導不再使用?

關於附件ZIP加密碼保護在日本開始盛行的起源,我們詢問國內與日本的郵件安全業者,包括網擎資訊、HENNGE、趨勢科技,以及也經營日本市場的國內資安產品服務公司,包括精品科技、TeamT5與奧義智慧等,幫助我們瞭解相關發展。

大致而言,早年電子郵件興起,都是以明文方式寄送,約莫在90年代,出現「不要在電子郵件中附加大檔」一說,因為檔案過大,會造成收件人的區域網路無法負荷而變慢,而且當時電子信箱容量較小,因此需要將附件壓縮寄送。

而為了強化機密資料的保護,後來,日本政府在提供給公家機關的資安指引中,加入「傳送機密資訊時需要因應需求加密或設定密碼」的要求,雖然未具體規定使用的方式,但由於電子郵件附件ZIP加密碼的方法夠簡便,看似又能因應這項要求,受到政府機關採用。

特別的是,原本這只是針對日本政府機關的規範,但因為與日本政府合作的企業配合遵循,使得當地企業跟進,也會使用這種方式傳送機敏資訊。

於是,儘管這並非所有日本企業都要遵循的規範,但在許多因素摻雜之下,在當地變得相當盛行。

例如,傳言早年有導入ISMS的顧問公司建議,企業也可以使用這種方式,以及大公司配合政府,小公司配合大公司的狀況,以及針對個人資料的保護的需求,還有日本職場對於電子郵件的寄送與格式相當要求的情形,加上當地郵件安全廠商對應市場需求,提供諸多自動化解決方案,使得這種方式如滾雪球般傳開,雖然並非全部,但形成日本政府與普遍企業採行的做法──寄送機密資訊電子郵件時,附件以ZIP壓縮並加上密碼保護,再傳送密碼給對方。

延續多年下來,雖然有些爭議,但在當地職場文化定型之下,這幾年日本年輕員工一踏入職場,也就將之視為日常,不明白當初為何要這麼做。這不只形成一種商業習慣,甚至是商業禮儀,不論郵件附檔機敏與否,所有附檔信件都套用這種方式。

2020年PPAP一詞被提出,呼籲政府、企業廢除此習慣的聲浪高漲

不過,近年來,日本社會開始檢討這種附件ZIP加密碼的作法。

特別是在2020年任職於日本情報經濟社會推進協會(JIPDEC)的企劃室長大泰司章,引發熱議。他將附件ZIP加密碼的方式稱為PPAP,主張應檢討這樣的資安防護策略。而由於PPAP一詞,其實也是諧星PIKO太郎風行全球的洗腦歌,這不僅讓PPAP再度成為話題焦點,產生更多此議題的討論聲浪,並進一步引發日本政府與企業開始尋求改變。

具體而言,這裡PPAP的意思是:

P:Password付きZIPファイルを送ります
發送帶有密碼保護的ZIP壓縮檔文件
P:Passwordを送ります
寄送密碼
A:Aん号化(暗号化)
加密
P:Protocol
協定

衍生密碼固定、易遭暴力破解,以及無法掃毒等防護力不足問題

基本上,這種安全機制之所以使用廣泛,主要優點,就是對寄件者的操作很簡單,甚至相關解決方案提供自動發送密碼通知信的選項,可以幫助用戶將上傳附件自動ZIP加密碼、產生密碼,以及寄送密碼通知信,避免使用者疏於保護帶有機敏內容的附檔文件。此外,如果用戶不設定自動發送第二封的密碼通知信,可以避免寄錯信件的問題。

然而,此作法雖有便利性,但也一直被詬病或探討。舉例來說,收件者要找到密碼才能開啟,效率其實不高;而從安全性來看,附件ZIP加密碼將使收信端的惡意軟體掃描無法進行;至於密碼發送方式,以第二封通知信來傳送密碼,是同一管道傳遞,這其實並未提供很好的保護。此外,面對ZIP加密碼檔案的密碼,要暴力破解算是相對容易。

特別的是,大泰司章還將PPAP做出具體的分類。他指出,以完整的PPAP而言,就是全部附件都以ZIP加上密碼,而密碼發送方式上,是以第二封密碼通知信自動寄出。此外,若第二封的密碼通知信是手動發信,則屬於不完整的PPAP;若密碼會以不同管道通知,則是稍微程度的PPAP。他認為,依據機密性選擇是否加密附件,並將密碼以不同管道通知對方,相較之下,會比較合理。

日本NISC修正政府機關資訊安全對策統一標準

因此,近年日本資訊領域所討論的廢止PPAP,也就是要廢止多年來普遍採行的附件ZIP加密碼,且以同管道寄送密碼的方式,但這項行動並不易推行。

為加速改變這個傳統的防護習慣,在2020年11月,日本數位化改革大臣平井卓宣布,經提案討論後,日本內閣辦公室與內閣秘書處在11月26日廢除PPAP,意即會把附件ZIP加密碼,以及與密碼用同樣管道寄送的方式廢止。

同時,政府將與日本國家網路安全中心(NISC)合作,調查其他政府部會與機構的情況,並根據調查結果,來敦促各單位也跟進廢除採行這種方式,也將蒐集民間企業的意見,以持續改進。

後續,日本NISC也有動作,除了在2021年4月到5月間,請外界提供意見,以修正「政府機關資訊安全對策統一標準」的4大規範,到了7月,新版本正式發布,而關於PPAP的問題,在「政府機構資訊安全對策統一技術標準(令和3年度版)」中,內容有相應的調整。

事實上,在之前版本的規範中,已經指出用於解密加密資訊的密鑰,不得透過與加密資訊相同的管道發送,而在這次修訂中,第3.1.1(6)-2款項,更明確指出上述「密鑰」意即加密時要設置的密碼,因此,在這次修訂下,也等於更明確指出不允許使用PPAP。

日本多家企業宣布廢除PPAP
不只日本政府要廢除PPAP(附件ZIP加密碼與密碼同管道寄送的方式),日本大企業也跟進,例如,日立宣布在2021年12月13日起,不再發送與接收這類郵件,電信公司Internet Initiative Japan(IIJ)也宣布在2022年1月26日阻擋密碼壓縮附件的E-Mail。

在廢除PPAP的浪潮下,郵件附檔傳送的安全需重新審視

除了日本政府方面的改變,最近部分日本企業也開始響應,宣布廢除PPAP,例如前面提到的電機製造商Hitachi、電信業者IIJ與電信與媒體業SoftBank,而根據日本經濟新聞的報導,不使用PPAP的企業,還包括NEC、IBM日本、富士通、Freee、野村綜合研究所與NTT Data等,另有許多公司表示將重新審視這樣的機制。

對於這樣的趨勢,由於郵件安全業者很早就推出附件自動加密機制,ZIP加密壓縮檔即是一種方式,他們如何看待這樣的變化?

對此,同時經營日本市場的國內郵件與安全業者,網擎資訊產品行銷副總李孟秋表示,現在很多郵件安全產品或是CDR/檔案無害化的系統,都推出新功能,可自行設定攔下加密壓縮檔,自動或提醒使用者手動輸入密碼,以便檢查其中是否含有惡意檔案,但日本政府可能基於使用不便、有其他取代方案,因此要求機關停用PAPP,而網擎也實際看到日本有些郵件主機,直接阻擋含ZIP加密的附檔,例如,日本知名的會計人事SaaS服務商freee,已經這麼做。

上述CDR/檔案無害化系統,其實也是日本政府流行採用的解決方案,簡單來說,就是讓文件檔案中可能有害的內容元件去除,同時維持檔案的可用性。

此外,日本在討論擺脫PPAP的過程中,也有一派說法是,附檔加密會阻礙郵件歸檔備查的實用性,如果大部分主機間的郵件傳輸,已採用TLS加密、不擔心過程被截取,對於仍能用郵件傳輸的信件,直接用一般附檔寄送,好處較多。而過於機密的檔案,因ZIP密碼保護也可能被暴力破解,應採郵件附檔以外的安全傳遞機制為宜。

李孟秋並表示,以過去網擎資訊在日本市場的經驗,一旦政令公布,日本各地各機關推行的速度會非常快、民間企業也會跟著施行,這點跟目前看到的日本報導是相符的。

來自日本、提供郵件DLP的解決方案的廠商Hennge Taiwan表示,日本當地有相當多的解決方案,可提供郵件自動化附件ZIP加密,而在這次廢除PPAP的風潮之下,他們確實感受到一些差異,新聞報導之後,有許多日本客戶詢問替代方案,為了這樣的需求,他們甚至也成立專門的諮詢團隊。至於日本企業開始廢除PPAP的時間點,他們認為,大概是在2021年中有動作。

對於PPAP的爭議,資安廠商趨勢科技也表示,在2021年2月,由於Emotet病毒的事件,也讓日本關注PPAP是否確實對資安有所幫助。當時日本警察廳表示,發現日本IP位址有2.6萬件感染Emotet病毒,散布惡意連結或惡意文件。在攻擊方式上,Emotet會透過郵件夾帶惡意巨集的Excel或Word文件,或是帶有受密碼保護的ZIP檔。

另一家與此議題有關的資安端點防護業者精品科技,他們的X-FORT端點資料安全防護方案,也針對Outlook提供相關功能,可依收件者自動將附檔ZIP加密的功能,精品表示,在臺灣類似功能並不流行,因為根據他們的定義,這種ZIP加上密碼形式,其實仍算是明文,保護程度有限。而日本當地,由於這兩年政府推動數位轉型,開始積極上雲,因此單靠加密壓縮檔來保護已無法滿足需求,勢必要尋求更周延的作法。

而精品科技日本子公司FineArt Japan部長尾高功恭表示,他們現在也已經不使用PPAP,對於無機密性的檔案,主要直接用明文檔案寄送。有些客戶會自動刪除郵件附檔,有些會使用FADrive傳送檔案。精品並指出,目前尚無同時解決資訊洩漏,又兼顧惡意軟體防護的絕對方案,因此,資安廠商都還處於摸索階段。

至於替代方案上,在檔案分享方面,目前多數業者指出,郵件加密以連結方式傳送附檔,或是採用企業檔案雲來統一管理,會是相對較好的方式。而企業檔案雲的應用發展,也已有六七年之久。

整體而言,市面上有許多檔案安全傳送解決方案,近期日本開始檢討附件ZIP加密碼的必要性,對於使用同樣方式的臺灣企業而言,或許也要想想,這麼做是否適合?方便與安全該如何平衡?還是過去根本缺乏這方面的保護。

當然,以郵件傳輸安全面向而言,企業若有更高郵件加密安全防護需求,可利用PGP加密、S/MIME加密,或是PKI加密來保護,這些方案同樣都發展很多年。此外,使用企業檔案公有雲服務來傳輸檔案,可能是國內企業較普遍一些的檔案分享方式,但同樣是有風險要注意。

而接下來的報導,我們也將繼續探討,關於PPAP的安全疑慮與相關風險,以及現在郵件加密機制的變化,並探討安全文件交換的注意事項。

郵件安全的附件加密功能,可自動完成ZIP密碼加密傳送
除了PGP、S/MIME等電子郵件加密方法,郵件安全防護的附件加密機制,早年也已發展出多種形式,ZIP密碼加密傳送就是一種,並讓加密流程做到自動化,避免使用者疏於保護含有機敏內容的附件文件。
(圖為網擎MailAudit Appliance管理介面)

附件加密設定方法多,其實有更安全的選擇

在郵件安全防護解決方案中,除了基於公開金鑰的郵件加密機制,針對附件加密的機制中,附件ZIP密碼加密傳送是管控方式之一,也是多年前即發展成熟的機制,許多的郵件安全防護廠商也都為市場提供類似的機制。

簡單來說,企業管理者可設定寄件政策,當掃描到員工寄送的郵件內容包含機敏資料時,可設定自動處理,而當中就有附件加密的功能模組。

基本上,簡易型的附件加密有很多種方式,單以附件ZIP密碼加密傳送而言,個別產品也可能還有不同的彈性設定的空間。例如,何種類型郵件要套用附件加密,密碼要由系統產生或使用者設定,而在密碼發送方式上,可以設定發給寄件者,再由寄件者從不同管道通知對方,但也可以只求方便,設定成隔10分鐘自動發送給收件者。這主要還是視企業本身的管理政策而定。

但在PPAP的議題之下,這種傳統習慣使用的保護方式,是否不必要或無效,確實成為現在企業關注的焦點。

 相關報導 

熱門新聞

Advertisement