この記事は2021年の Office365 Advent Calendar 18日目の記事です。
業務においてファイルを送りたい場合にパスワード付きZipファイルとして添付し、続くメールで解凍用のパスワードを別途送付するという文化は長らく続けられたもので、現在も同様の手法でのファイル送付が多くみられます。
しかし、この手法は情報の機密性の向上にはあまり寄与しないばかりか、セキュリティソフトが添付ファイルの解析をできないことから昨今ではEmotet等のマルウェア感染拡大の手法となっていることもあり、一部ではPPAPなどといった略語で揶揄されている様も見られます。
最近では大手企業や官公庁も脱PPAPなどの看板を掲げ、自社がパスワード付きZipでメールを送らないほか、パスワード付きのZipファイルをブロックする対処を行う企業も出てきています。
この記事ではExchange Onlineのトランスポートルールを用い、パスワード付きZipファイルを含むメールをブロックする手法について説明します。
トランスポートルールを作成する
トランスポートルールはExchange管理センターへExchange管理者権限へアクセスし、
「メールフロー」→「ルール」→「+ アイコン」→「ルールの新規作成」とたどることで作成ができます。
作成するルールの名称を入力し、「その他のオプション」を選択します。
簡易的なルールはすぐに作れますが、「その他のオプション」を選択することでより詳細なルールの定義が可能です。
ルールを適用する条件を定義します。
「このルールを適用する条件」のプルダウンから「任意の添付ファイル」→「パスワードで保護されている」を選択します。
ルールの適用条件に合致したときの処理を定義します。
「実行する処理」のプルダウンから「メッセージをブロックする」→「メッセージを拒否してその説明を含める」を選択します。
メッセージを拒否する際に受信者が受け取る拒否メールへ記載する理由を入力します。
最後に内容を確認し、問題なければ「保存」を選択します。
パスワード付きZipファイルを作成して送付してみる
手元でパスワード付きZipファイルを作成し、送信してみます。
送信後少しして、配達不能メールが返ってきました。
エラーメッセージの中にルールで記載した拒否の理由の文言が記載されていることがわかります。
まとめ
Exchange Onlineでのパスワード付きZipファイルのブロックは上記の通り数ステップで簡単に実装が可能です。
ただし、例示した設定では送信元の内部・外部を問わずブロックするほか、Zipファイル以外のパスワード保護ファイルも等しくブロックされます。
また、ファイルだけ除外して本文は通すなどの処理はできていません。
自社のルールに則って条件の追加や除外を含めたトランスポートルールを定義するとよいでしょう。