コープさっぽろではPPAPの受け取りを制限しています!!!(実装編)
こんにちは、やまさきです。
以前、にーおかさんからこんなご紹介がありました。
ぺんぱいなぽー・・・ではなくて、メールにパスワード付きの暗号化ファイルを添付し、パスワードが後から送付され、後で送付されたパスワードで、暗号化ファイルを解凍し中のファイルを確認するという、アレ。
そう、そのPPAPです。
PPAP制限をどのように実現させたのか、内部での進め方や技術的な部分についてお話しようと思います。
実装方法
コープさっぽろではメールシステムはGoogleWorkspaceを使っています。
管理画面の[アプリ]→[Google Workspace]→[Gmail の設定]→[コンプライアンス]の「添付ファイルのコンプライアンス」から設定ができます。
画像は既に設定を入れているので表示されていますが、一番初めだと「ルールを追加する」みたいなリンクが表示されていると思います。
ここで、以下のような設定をしていきます。
[影響を受けるメール]は全ての送受信としたいので全てにチェックを入れます。
[各メッセージで検索するコンテンツを表す表現を追加する]ここで「どのようなファイルが添付されていたら」を設定します。
つまりは制限したいファイルの種類をここで設定します。
何も設定されていない状態だと「追加」リンクが表示されていると思います。
「PPAP」というと「暗号化された圧縮ファイル」を指していることが多いのですが、昨今流行っているEmotet(なりすましメール)では暗号化された圧縮ファイル以外でも、ExcelやWord等のオフィス系ファイルのマクロ機能にコンピューターウィルスを仕込んで送ってくることもあります。
このため「暗号化された圧縮ファイル」の他にも「暗号化されているOfficeドキュメント」にもチェックを入れています。
[上記の表現が一致する場合は、次の処理を行います]で「メッセージから添付ファイルを削除」にチェックを入れます。
単にファイルを削除してしまうだけだと受信した側からすると「添付忘れたのかな?」と思われてしまうので、添付ファイルを削除した旨を通知するメッセージをここで設定します。
お取引先によっては、メールシステムで強制的に添付ファイルがPPAPになってしまう等の、どうしても回避できない事情もあります。
そういった場合は除外設定ができるので、その申請フォームのURLも入れています。
「オプションを表示」をクリックすると[アドレスリスト]に何も設定していない場合は「リストを作成または編集」リンクが表示されていると思います。
「リストを作成または編集」リンクをクリックすると以下のような画面が別タブで開きます。
ここで、除外するメールアドレスのドメイン部分を追加します。
複数ある場合は[アドレスを一括追加]をクリックします。
そうすると、カンマ区切りかスペース区切りした複数のドメインを追加できるウィンドウが開きます。
除外アドレスリストを保存したら元のタブに戻ります。
[既存のリストを使用する]リンクをクリックすると除外設定で使用するアドレスリストを選択するウィンドウが表示されます。
使用するアドレスリストにチェックを入れて左上の「✕」で閉じます。
[影響を受けるアカウントの種類]では、ユーザーとグループを選択して[保存]します。
内部での進め方
内部へのアナウンス
まずはテストをして想定しているとおりに動くかを検証しました。
検証ができたら説明資料を作って全体に対しポータルサイト(Googleサイト)やSlackでアナウンスをしました。
いらすとやさんって本当に便利ですね。
除外申請について
ここについては議論を重ねました。
いきなり全てのPPAPを制限してしまうと大混乱となるのは目に見えているので、はじめはお取引先ではないアドレスからのPPAPを制限しようということになりました。
つまり、見かけ上はお取引先のように見せかけたなりすましメールのことです。
このため、全てのお取引先のドメイン名を集めることにしました。
はじめはGoogleフォームで集めていたのですが、人によってはお取引先が大量にあるので1件ずつ入力するのが辛いということでスプレッドシートに書いてもらうようにしました。
ある程度集まったところで除外登録をしました。
それ以降は、フォームに書かれたことに気が付くことができるように、スプレッドシートとZapierを連携させ、スプレッドシートに新しい行が追加されたらSlackチャンネルへ通知するようにしました。
本当はスプレッドシートに書かれたらGASでアドレスリストへ登録するようにしたかったのですが、アドレスリストへ登録するAPIがそもそも用意されていないので手動で登録しています。。
PPAP制限の効果
2021年11月頃からEmotetという、送り主を偽るまたは乗っ取ってコンピューターウィルス入りファイルを送信する攻撃メールによる被害が多発しています。
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて
※独立行政法人情報処理推進機構サイトより
また、コープさっぽろを騙ったメールが届いたという報告も受けております。
※当組合では末尾が「@sapporo.coop」ではないメールアドレスを使用してメールをお送りすることはございません。
攻撃者が特定の人物を騙って送信している場合や、感染した人のメールアカウントが乗っ取られて正しいアドレスから送信している場合もありますが、前者の場合においてはPPAP制限が効いておりメール自体は受け取っているものの、添付ファイルは削除された状態となっています。
添付ファイルが暗号化圧縮ファイルではなく、暗号化していないExcelやWordファイルを添付している例もありますが、そちらについてはGoogle側で検知し、本人にはメールを届けずにブロックしているようです。
今後
とはいえ、PPAP制限を除外しているアドレスに対しては暗号化ファイルの送信も受信もできてしまいます。
ウィルス被害を受けてしまうことは問題ですが、加害者となってしまうことのほうがより問題だと考えています。
パソコンへのアンチウィルスソフトや振る舞い検知システム(ウィルスっぽい動きをすると検知・駆除するシステムです)の導入もしていますが、もうそろそろ「メールシステムの都合上、どうしてもPPAPになってしまう」場合を除いて全面的に制限をしていくように舵を切る時期が来たのかなあと思っています。
そのためには代替策としてメールを使わないファイル共有手段の整備をしていく必要があると考えています。
GoogleWorkspaceをお使いのお取引先についてはGoogleドライブの外部共有ができるので、そこでやりとりをしてもらえば良いのですが、そうではない場合にはビジター共有という機能を使う必要があります。
ですが、ビジター共有についてはまだコープさっぽろ内で使えるようにしていないのでその整備をしていくところからのスタートとなります。
おいおい整備していこうと思っていますのでもうしばらくお待ちいただければと思います!
文:やまさき