はじめに
メールでやりとりする相手と気軽にファイル共有ができる方法として長年利用されてきたPPAP。しかし近年はそのPPAPを廃止しようとする企業が増えています。
日本で広く浸透し活用されてきたPPAPの何が問題なのか、なぜ廃止の動きが広がっているのかを本記事で詳しく解説します。
間違ったセキュリティ対策?PPAPとは
PPAPとは「パスワード付きzipファイル」と「解凍用パスワード」を2通のメールに分けて送信するファイル共有手段です。仮に1通目を誤送信した場合でも、パスワード記載の2通目を送信しなければファイルが開かれることはありません。そのため「誤送信対策」、「情報漏洩を防止できるセキュリティ対策」として効果があると考えられています。専用システムを導入する必要もなく、zipファイルに圧縮・解凍すれば誰でも手軽に実施できるため、日本では2010年頃から慣習的に利用されてきました。
一方で、実際はセキュリティ対策としての効果はなく、また誤送信対策としても役に立たない代物であると長年叫ばれてきたのも事実です。
JIPDEC(一般財団法人日本情報経済社会推進協会)の専門家は、セキュリティの意味をなさず、ただのパフォーマンスでしかないこの悪習を揶揄し戒めるために、一連の手順である「Password付きzipファイルを送ります、Passwordを送ります、暗号(Angou)化、Protocol(プロトコル)」の頭文字をとりPPAPと命名しました。
PPAPの問題点や廃止するべき理由
日本社会に長らく浸透してきたPPAPがセキュリティの専門家に揶揄されるほどに問題視されているのはどのような理由があってのことでしょう。
ここではPPAPの問題点や廃止するべき理由を挙げていきます。
送受信ともに手間がかかる
手軽にファイル共有でき、セキュリティ対策にもなると考えられ利用されてきたPPAPですが、2通に分けてメールを送る行為は単なる手間でしかありません。
送信側は暗号化したいファイルを圧縮、次にパスワードを設定し、それを2度に分けて送ります。このとき誤送信がないよう気を配る必要があります。
受信者側はメールから添付ファイルをダウンロード、次にパスワードが書かれたメールを確認し、zipファイルの解凍を行います。その際、1通目と2通目の送信時間に差があれば他のメールに埋もれる可能性もあり、また万一送信者がパスワード送付を失念、もしくはパスワードを間違えていた場合はファイルを開けず、受信者側から確認せねばなりません。
送信者・受信者ともに負担のかかるPPAPは、業務効率低下を招く厄介な行為であるといえます。
現代の働き方に合わない
近年はテレワークの普及により、スマートフォンやタブレットなどのモバイルデバイスからメールを送受信する機会が増えています。しかしモバイルデバイスでパスワード付きzipファイルを解凍するには専用のアプリケーションを要することが多く、パソコンに比べ開封や閲覧が困難です。
会議の合間や外出先からメール対応が必要になり、それがPPAP方式を用いたメールであった場合、ファイル内容の確認ができずに困ることもあるでしょう。業務に用いるデバイスが多様になった現代ではいずれのデバイスでも同じように業務を遂行できなければなりません。業務効率や利便性に難のあるPPAPは現代の働き方に合わないといえます。
セキュリティ対策としての効果はない
パスワード付きzipファイルとパスワードを別々に送ったとしても、結局は同じ経路を使うことに変わらず、メールを盗み見できる状況であれば暗号化は何の意味も持ちません。
またメールの宛先を間違えていた場合、第三者にファイルとパスワードが届いてしまうため、かえって情報漏洩のリスクは高いといえるでしょう。仮に1通目を誤送信後、2通目を送る前に誤送信に気付くことができればパスワードを送ることはないものの、ファイルは関係のない第三者に届いています。これが悪意ある第三者であれば、あの手この手でパスワードを解析しようと試みることは想像に難くありません。
誤送信の元になる人為ミスを100%防ぐことは難しいため、メールによるファイル共有そのものを見直す必要があります。
パスワード付きzipファイルにも問題が
PPAPに限らず、暗号化zipファイル自体にも問題があります。
通常、送受信されるメールや添付ファイルはサーバ上や受信者の端末上でウイルスチェックが行われます。何か問題があれば検知されるしくみですが、暗号化されたzipファイルは中身をチェックすることができず、そのまま通過してしまうことがほとんどです。そのため暗号化されていないファイルよりもわざわざパスワードまで設定したzipファイルの方が、ウイルスに対し脆弱であるといえます。
この弱点を突いたサイバー攻撃も増加し、ファイルが添付されたメールの受け取りを拒否する企業も増えています。
今後はPPAPを利用する企業と廃止した企業の間で摩擦が生じる可能性も否めません。
内閣府もPPAP廃止を発表
2020年11月、当時のデジタル改革担当大臣が内閣府・内閣官房でのPPAP利用廃止を記者会見で発表したことは大きな話題となりました。
「zipファイル送付と同経路でパスワードを送る方式はセキュリティの観点、また利便性の観点からも適切ではない。そもそも機密性の高い情報を含むファイル送信は全く別の経路でパスワードを知らせることが適切な対応であった」というものです。同時に「このような取組は政府内だけでなく民間にも影響のあるもの」と示しています。
かねてよりセキュリティの専門家がPPAPに警鐘を鳴らしてはいたものの、この発表がきっかけとなり、ようやくPPAP廃止の動きが民間企業にも広がりだしたのです。
サイバー攻撃増加も廃止のきっかけに
PPAP廃止の動きが高まっている理由には、近年のサイバー攻撃増加も一因に挙げられます。
2019年頃よりマルウェアの一種であるEmotet(エモテット)の攻撃が日本国内に広く着信し始めました。Emotetはメールに添付したファイルやURLを開くことで感染します。つまり「パスワード付きzipファイルのウイルスチェックすり抜け」はEmotet攻撃を仕掛けるには格好の餌食です。
PPAPが常態化しておりそこにEmotetが仕掛けられたファイル添付メールをPPAP方式で送られた場合、それが攻撃メールだと見抜けずにファイルを開封してしまう可能性は高いでしょう。そうなれば気付かぬ間に感染が拡大し、さまざまなマルウェアを呼び寄せ拡散させる温床となりえます。
Emotetについての詳しい解説はこちら「猛威を振るう最恐のマルウェア「Emotet(エモテット)」|その特徴や対策をご紹介」もご覧ください。
まとめ
慣行として官公庁や多くの企業で長年利用されてきたPPAPですが、業務効率面や利便性、またセキュリティの観点からも早々に見直さなければなりません。特にEmotetをはじめとするメールや添付ファイルの脆弱性を狙ったマルウェア攻撃、サイバー攻撃が次々と生み出される中ではなおさらでしょう。
内閣府・内閣官房のPPAP廃止決定を受け、民間企業にもその動きは広がっています。今後もPPAPを廃止し、パスワード付きzipファイルを拒否する企業は増加すると推測されます。
自社でもまだPPAPを使っている、メールでのファイル共有に不安がある、とお考えの場合はセラクへ一度ご相談ください。セラクではセキュリティ専門コンサルタントがお客様の潜在的なリスクや課題解決に向けて、プロアクティブに改善提案を実施しております。PPAPに代わるファイル共有方法やEmotetをはじめとするセキュリティ上の脅威に対し、お客さまの環境に合わせた最適な方法をご提案いたします。
次の記事ではPPAPに代わるファイル共有方法について解説しておりますのでそちらもご覧ください。
「もう使わないで!PPAP|PPAPの代替となるファイル共有方法とは」