2021年2022年バックナンバー
雑記帳
PPAP パスワード付きZipファイル添付
令和2年11月24日、平井卓也デジタル改革担当大臣が記者会見で、令和2年11月26日から内閣府、内閣官房で「PPAP」を廃止する方針を発表しました。
PPAPは、ピコ太郎の 「ペンパイナッポーアッポーペン(PPAP)」ではありません。
「PPAP」とは、平成23年頃から政府や日本の多くの企業で実践されてきた、Eメールでファイルを送受信する際のセキュリティ対策方法を表す略語です。
PPAPは、ピコ太郎の 「ペンパイナッポーアッポーペン(PPAP)」ではありません。
「PPAP」とは、平成23年頃から政府や日本の多くの企業で実践されてきた、Eメールでファイルを送受信する際のセキュリティ対策方法を表す略語です。
「P」assword付きZip暗号化ファイルを送ります
「P」asswordを送ります
「A」ん号化(暗号化)します
「P」rotocol(プロトコル=手順)
それなら、暗号は「Cryptography」ですから、「PPNP」でも良さそうなものです。
「PPAP」の手順は、ファイルをZip形式で圧縮し、暗号化してパスワードをかけたうえでメールに添付、送信し、それとは別のメールでパスワードを送信するというものです。
悪意のある第三者による閲覧を防止する考え方に基づいています。
しかしこの対策、実は期待されるセキュリティ対策としての効果は得られず、逆にセキュリティリスクになってしまっているなど、問題が指摘され続けています。
PPAPの問題点は何でしょう。
PPAPの手順では、パスワードを付けた(暗号化した)Zipファイルを送る前後に、「先ほどお送りした(これからお送りする)ファイルのパスワードは*****です」という別メールを相手に送ります。
しかし、前後して同じメールという方法で送られてくるパスワードも、同時に攻撃者の手に渡る可能性が極めて高いため、セキュリティレベルを担保できないといわれています。
また、Zipに付けるパスワード自体も、一般的なツールを用いて比較的短時間で解析できる程度の強度でしかないことが指摘されています。
パスワード付きZipファイルはウイルスチェックができない場合があるという点が問題といわれています。
「P」asswordを送ります
「A」ん号化(暗号化)します
「P」rotocol(プロトコル=手順)
それなら、暗号は「Cryptography」ですから、「PPNP」でも良さそうなものです。
「PPAP」の手順は、ファイルをZip形式で圧縮し、暗号化してパスワードをかけたうえでメールに添付、送信し、それとは別のメールでパスワードを送信するというものです。
悪意のある第三者による閲覧を防止する考え方に基づいています。
しかしこの対策、実は期待されるセキュリティ対策としての効果は得られず、逆にセキュリティリスクになってしまっているなど、問題が指摘され続けています。
PPAPの問題点は何でしょう。
PPAPの手順では、パスワードを付けた(暗号化した)Zipファイルを送る前後に、「先ほどお送りした(これからお送りする)ファイルのパスワードは*****です」という別メールを相手に送ります。
しかし、前後して同じメールという方法で送られてくるパスワードも、同時に攻撃者の手に渡る可能性が極めて高いため、セキュリティレベルを担保できないといわれています。
また、Zipに付けるパスワード自体も、一般的なツールを用いて比較的短時間で解析できる程度の強度でしかないことが指摘されています。
パスワード付きZipファイルはウイルスチェックができない場合があるという点が問題といわれています。
セキュリティ対策ソフトの導入は企業などセンシィティブな情報を扱う法人・私人として当たり前になっていますが、通常のセキュリティ対策ソフトでは、パスワード付きのZipファイルに対してウイルスチェックが働かないことがあります。
さらに、Zipファイル添付を行っている企業が狙われる可能性も増えることになるのは容易に想像がつきます。
「Emotet」というマルウェアは世界規模で拡大していますが、パスワード付きZipファイルがセキュリティソフトのチェックをすり抜けて届き、受信者がそのファイルを解凍する際に感染してしまいます。
普通なら、PPAPの手順を践んで添付ファイルを送付するということは希なのに、PPAPの手順を践んで添付ファイルを送付することは「送付する内容が重要ですよ」と教えるようなものですね。
そのセキュリティ対策として、パスワード付きZipファイルをブロックする企業も増えてきています。こうした理由から、今後パスワード付きZipファイルは相手に届かず、はじかれてしまうリスクも考えられます。
近年、一部の企業や業界ではビジネスにおけるファイル送受信の常識のように行われてきたPPAPは、昨今セキュリティ上のリスクが問題視され、多くの専門家から廃止を求められていました。
今回の内閣府の決定で、ようやくその口火が切られ、あらためて多くの企業で別のセキュリティ対策を講じることになるでしょう。
といいながら、私のところには、パスワード付きZipファイルが結構届いています。
さらに、Zipファイル添付を行っている企業が狙われる可能性も増えることになるのは容易に想像がつきます。
「Emotet」というマルウェアは世界規模で拡大していますが、パスワード付きZipファイルがセキュリティソフトのチェックをすり抜けて届き、受信者がそのファイルを解凍する際に感染してしまいます。
普通なら、PPAPの手順を践んで添付ファイルを送付するということは希なのに、PPAPの手順を践んで添付ファイルを送付することは「送付する内容が重要ですよ」と教えるようなものですね。
そのセキュリティ対策として、パスワード付きZipファイルをブロックする企業も増えてきています。こうした理由から、今後パスワード付きZipファイルは相手に届かず、はじかれてしまうリスクも考えられます。
近年、一部の企業や業界ではビジネスにおけるファイル送受信の常識のように行われてきたPPAPは、昨今セキュリティ上のリスクが問題視され、多くの専門家から廃止を求められていました。
今回の内閣府の決定で、ようやくその口火が切られ、あらためて多くの企業で別のセキュリティ対策を講じることになるでしょう。
といいながら、私のところには、パスワード付きZipファイルが結構届いています。