パスワード付きZipファイル 【password-protected zip file】 暗号化Zipファイル / encrypted zip file
概要
パスワード付きZipファイル(password-protected zip file)とは、圧縮ファイルの形式として有名なZip形式のファイルのうち、パスワードに基づいて暗号化されたもの。パスワードを知っている人でなければ格納されたファイルを伸張して取り出すことができないようにすることができる。Zip形式はWindowsやmacOSが標準で対応するなど一般に広く普及したファイル圧縮形式で、複数のファイルやディレクトリを一つのファイルにまとめ、データ圧縮を行って小さいサイズ(データ量)のファイルに変換することができる。
通常のZipファイルは対応ソフトを用いて簡単に内部のファイルを復元して取り出すことができるが、パスワード付きZipファイルは圧縮時に利用者が指定したパスワードに基づいて圧縮と同時に暗号化を行う。圧縮時に設定したパスワードを正しく入力しなけれ伸張できない。暗号化されるのはファイルのデータ本体のみで、ファイル名やディレクトリ名などは復号しなくても見ることができる。
暗号化方式の違い
暗号化方式としては、古いZip仕様から存在し対応ソフトの多い「ZipCrypto」方式(Zip 2.0暗号化などとも呼ばれる)と、米政府が標準化した「AES」(Advanced Encryption Standard)暗号の256ビット鍵を用いる方式(AES-256)が存在する。
ZipCrypto方式はWindowsが標準で伸張でき、ほとんどのZip対応ソフトが圧縮・伸張の両方に対応しているが、鍵長が96ビットしか無いなど設計が古く、既知平文攻撃と呼ばれる手法に対する弱点も発見されており、現代では一般的なパソコンを用いた解析でも短時間で解読されてしまうとされる。
AES方式はより安全性が高いが7-Zipなど限られた対応ソフトを導入しなければ伸張できず(7-Zipを使って良いなら暗号化された7z形式の方がより安全であるとされる)、英字のみ7桁以下のような短いパスワードでは脆弱なことに変わりない。
PPAP
電子メールでファイルを添付する際、セキュリティ対策としてパスワード付きZipファイルを添付し、別のメールでパスワードを通知するという手法がよく用いられる。
ファイルを添付したメールを攻撃者が入手しても、単体ではパスワードが分からず復号できないという仕組みで、俗に『「パスワード付きZipファイルを送ります」「パスワードを送ります」暗号化プロトコル』を略して「PPAP」と呼ばれることがある。
主に日本の企業や官公庁などで広く普及しているが、ZipCrypto形式のパスワード付きZipファイルは既に安全ではないことや、暗号化ファイルと同じ経路でパスワードを配送するなら攻撃者は両方入手できると考えるのが自然である点など、セキュリティ対策としては意義が薄いとの指摘が多く、2020年頃から廃止・禁止・非推奨の動きが広がっている。
共有ボタンをタップ