セキュリティ企業のデジタルアーツは、企業や組織が業務で利用するメールに関する調査の結果を発表した。メールに「ZIP」形式の圧縮ファイルを添付するケースが半減した一方、セキュリティリスクの高いとされるZIP暗号化ファイルがいまだに使用されている実態が分かった。
調査は、国内の約2000組織を対象として、2024年12月8~21日に実施した。社内メールを除く、「受信メールに何らかのファイルが添付されたもの」に限定して抽出した300万通以上のデータを基に拡張子の種類を分析。ZIP暗号化ファイルは、同社のメールセキュリティソフト製品「m-FILTER」に搭載する偽装メール対策機能の判定結果を用いて算出した。同様の調査を2020年2月にも実施している。
それによると、ZIPファイルを添付している受信メールの割合は、前回調査の25%から今回の調査では12%に減少した。最多は「PDF」形式のファイルで、前回調査の29%から今回の調査では36%に増加していた。
ZIP暗号化ファイルは、ZIPファイルにパスワードを設定しているもの。しかし、この方法は容易かつ短時間にパスワードを解読できるため、セキュリティリスクが極めて高く、2020年11月24日に、当時の平井卓也デジタル改革担当大臣がZIP暗号化ファイルの廃止方針を表明した。これは「脱PPAP」とも呼ばれ、民間企業でも使用を取りやめる動きが広がった。
デジタルアーツの今回の調査では、ZIPファイルを添付している受信メール(分析対象全体の12%)のうちZIP暗号化ファイルが56%を占めており、送信元ドメイン数は重複を除いても6000以上存在している実態が判明した。
この結果について同社は、「取引先がZIP暗号化ファイルを受信しなくてはならないという状況があり、リスクを把握し切れていない企業や組織が一定数存在していることが想定される。メールセキュリティソフトの多くは、ZIP暗号化ファイルの内部をスキャンする機能を備えておらず、ファイルを開いてマルウェアに感染したり、受信者の組織内に広めてしまったりするリスクが引き続き存在している」と指摘している。