この記事の要約

• 約5年前と比較し、業務利用受信メール添付ファイルに占めるZIPファイルの割合が半減（25%→12%）。
• ZIPファイルの減少は、脱PPAPが背景にあると考察。
• ただし、6,000以上のドメインがパスワード付きZIPファイルを送信しており、PPAPを継続している組織は多いと考える。
• 最近の日本向けのばらまき型攻撃メールは、規模は大きくないものの発生しており、パスワード付き圧縮ファイルを使った攻撃も観測。

業務利用受信メール添付ファイルの拡張子

国内組織の受信メールデータを用いて、「何らかのファイルが添付された受信メール」に絞り、その添付ファイルの「拡張子」を集計しました（※1）。過去に集計したデータと今回集計したデータのグラフが下の図となります。

ここで注目したいのが「ZIPファイル」です。

• 2020年2月では「ZIPファイルは25%」
• 2024年12月では 「ZIPファイルは12%」

という結果となっています。どちらの集計期間においても、悪性の添付ファイルが多数を占めているようなことはありませんでした。

つまり、業務利用における受信メール添付ファイルにおいて、
ZIPファイルは約5年（4年と10ヶ月）で半分以下に減少していることがわかりました。

この変化の背景には何があるのでしょうか。

（※1）集計データについて

• 2020年2月の集計データは、以前に報告した下記のリンクのレポートより。
  https://www.daj.jp/security_reports/11/
  >業務利用受信メールの添付ファイル調査

• 2024年12月の集計データについては、以下の情報より。
  • 対象期間：2024/12/08～2024/12/21
  • 対象：受信メールに何らかのファイルが添付されたものに限定。300万通以上、2000組織以上
  • 組織内部での送受信メールは数値に含みません

脱PPAPとZIPファイル減少

メールでファイルを送る際に、日本の多くの企業・団体で慣例化された「ZIP暗号化」運用（PPAP）ですが、セキュリティレベルを担保するための暗号化ではないため様々なインシデントリスクを抱えてきました。弊社でも「PPAP」に対していち早く警鐘を鳴らし、メールの受信面と送信面での課題、双方への対策を提案してきました。

PPAPはなぜ危険？PPAPメールを廃止する理由と代替策

2020年には、デジタル庁による『中央省庁の職員が文書などのデータをメールで送信する際に使用する「ZIP暗号化」ファイルを廃止する方針』の発表を行ったり、その後民間企業においても相次いで廃止の方針を表明するなど、「脱PPAP」が日本中に定着していきました。

脱PPAPを行い、その代替として、ファイル転送サービスの利用や、クラウドストレージのダウンロードリンクを記載して渡す方法、別のファイル（PDFなど）へ変換して内部にダウンロードリンクを記載する方法など、様々な運用方法へとシフトしていきました。

このような背景があり、

日本中で脱PPAPを行った結果、ZIPファイルのやりとりが減少したといえるのではないでしょうか。

PPAPの現実は

【図1】において2024年12月に集計を行ったデータでは「ZIPファイルは12%」でしたが、この中には「パスワード付き」と「パスワード無し」の両方のZIPファイルが含まれています。そのため、さらにパスワードの有無で分類してみました（※2）。

分類した結果、ZIPファイルの56%がパスワード付きでした。これはおそらくですが、PPAPを行っている組織から送られているのだと考えられます。パスワード付きZIPファイルの、

• 送信元ドメイン数は重複を除いて6,000以上
• 受信組織数は700以上

となっていました。

つまり、「送信元ドメイン数」を「組織数」と大まかに考えると、まだ6,000もの組織がPPAPを行っている可能性があります。

国内で脱PPAPが定着してきたものの、いまだ多数のPPAPを行う組織が存在し、その取引先はパスワード付きZIPファイルを受信しなければならないという状況がうかがえます。

（※2）ZIPファイルのパスワード有無については、m-FILTERの偽装メール対策機能の判定結果を用いています。「m-FILTER」の偽装メール対策機能である「添付ファイル強制検査」では、パスワード付きZIPファイルを受信者の端末ではなく 「m-FILTER」上で解凍して検査することができ、偽装したパスワード付きZIPファイルを使った攻撃メールにも対応できます。この機能を利用することで、受信時のPPAP対策にも有効です。

日本国内組織向けばらまき型攻撃メールの状況

さて、猛威をふるっていた「Emotet」は2023年3月末頃を最後に活動を停止しています。以後、日本国内組織に向けたばらまき型攻撃メール（ばらまきメール）について、「大規模な」ものは見受けられません。

しかしながら英語や外国語でのメールは依然としてありますし、日本国内組織向けの小規模なばらまきメールは発生しています。 以下にいくつか例を紹介します。

Agent Tesla

2024年5月に観測されたものに、情報窃取型のマルウェアである「Agent Tesla」に感染させる目的のばらまきメールがありました。添付の圧縮ファイルがパスワードで暗号化され、パスワードはメール本文に記載されていました。

メールは貨物輸送の到着メールを装い、r01という拡張子 （RAR圧縮ファイルの分割形式）圧縮ファイルが添付されていました。メール本文だけでなく、圧縮ファイル内のテキストファイルにも同様のパスワードが記載されています。記載されていたパスワードを用いてファイルを解凍し、scrという拡張子のファイルをダブルクリックして実行してしまうと、Agent Teslaの感染に至ります。

このように、パスワード付き圧縮ファイルを添付してメールを送付する攻撃手法は、依然として使われています。

Snake Keylogger

2024年10月から11月にかけて複数回にわたって、情報窃取型の「Snake Keylogger」というマルウェアがメールでばらまかれていました。下図はそのばらまきメールの一例です。

メールは「見積依頼」といった件名で送信されていることが多いようです。メール本文には、どこかから引用または窃取したと思われるまともな日本語が使われていることもあれば、外国語文章だったものを日本語に機械翻訳しただけのようなものもあります。添付ファイルには、パスワードのついていないZIPファイルや、7zといった拡張子の圧縮ファイルが添付されていることが多いようでした。圧縮ファイルを解凍するとマルウェアが含まれており、実行してしまうとSnake Keyloggerの感染に至ります。

Snake Keyloggerの作成者は自身で攻撃を行うというよりも、犯罪者に対してマルウェアをサービスとして販売することで報酬を得ているようです。簡単に使用することができ、安価であることから多くの犯罪者に好まれています。2024年はさらに「Snake VIP Keylogger」という新たなマルウェアも販売しています。

Snake Keyloggerは、精力的に更新・販売されており、それを利用する犯罪者が今後も増加すると考えられます。

おわりに

メールでのZIPファイルのやりとりが大幅に減少し、脱PPAPが定着している実態が感じられました。しかしながら、PPAPを継続している組織が今も多数存在することは明らかです。

日本国内組織に向けたばらまき型攻撃メールは、過去に比べると少なくなってはいるものの依然として観測しています。パスワード付きの圧縮ファイルを利用した攻撃も観測しています。Emotetのような大規模かつ、パスワード付きの圧縮ファイルを使った攻撃が発生するかもしれません。また、ばらまきメールだけでなく、特定組織だけをターゲットにした攻撃にも備えておくべきです。

私たちは、それらの攻撃から自身や自組織、あるいは取引先も含めて守っていく必要があるでしょう。