PPAPの危険性:禁止される理由や代替案を紹介

 2021.11.18  クラウドセキュリティチャネル

インシデント損害額調査レポート2021年より徹底解説

従来、取引先へ安全にファイルを送る方法としてメールにZIPファイルを添付する「PPAP」がよく使われていました。しかし、現在ではPPAPの問題点も認識されるようになり、多くの企業が廃止も含む方針の再検討に動いている状態です。本記事では、PPAPが注目されるようになった理由や、PPAPに代わるファイル送信方法の代替案を紹介します。

PPAPとは

「PPAP」とは、パスワード付きZIPファイルを添付したメールと、解凍用のパスワードを記載したメールを分けて送る方法です。PPAPという呼称は、以下の頭文字から成り立っています。

P:パスワード(Password)付きZIP暗号化ファイルを送信する
P:パスワード(Password)を送信する
A:暗号化(Angoka)する
P:プロトコル(Protocol)

この手法を利用することで通信経路上での傍受を防ぐことができる他、仮に添付ファイル付きのメールを間違った相手へ送っても、パスワードさえ誤送信しなければ、中身を参照されないというのがPPAPの趣旨です。受信側は2通目で送られてきたパスワードを使い、パスワード付きZIPファイルを解凍して中身を参照します。

できることから考える-PPAPの現状と代替案について-
Microsoft 365だけでは不十分?メールセキュリティ対策3つの落とし穴

日本でPPAP方式が利用されるようになった背景

Pマークの取得にあたり個人情報のやりとりは全て暗号化することが必要となり、それを満たすため多くの企業が、パスワード付きZIPファイルを添付したメール送信をセキュリティ対策として実施したことが、この方式が普及した背景です。ただしPマークでは、パスワードの伝達について、電話やFAXといった別チャネルの利用が想定されていました。

しかし、別チャネルの利用は手間がかかることから、別メールでパスワードを送付することを認める企業が増えたのです。この方針は政府機関を含む多くの法人で採用されてきました。

【PPAPの課題】禁止されるようになった5つの理由とは?

ところが現在ではPPAPの問題点も広く知られるようになり、禁止する企業も増えています。2020年11月には、平井内閣府特命担当大臣(当時)が「内閣府・内閣官房におけるPPAPを禁止する」と宣言しました。
参照元:https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201117kaiken.html

それでは、PPAPはなぜ問題視されているのでしょうか。以下、理由を1つずつ解説します。

パスワードを違う相手に送信してしまうリスクがある

PPAPはそもそも、誤送信対策としては不十分です。というのも、「2通とも必ず正しい相手へ送信すること」は、保証できるものではないからです。PPAPではパスワード付きZIPファイルを添付したメールだけでなく、パスワードを記載したメールも相手へ送信するため、結局は人為ミスなどが介在する余地をなくせていません。本当に誤送信を防ぎたいのであれば、人為ミス対策も併せて検討すべきでしょう。

パスワード解読が容易

パスワード付きZIPファイルは、実のところ暗号化強度が高くありません。一般的に使われるパスワード付きZIPファイルの暗号化方式「ZipCrypto」を使った場合、ごく短時間でパスワード解析が可能です。さらに、こうしたパスワード解析用ツールは、ネット上で誰にでも入手できてしまいます。

そのため、仮にパスワード付きZIPファイルを添付したメールだけをご送信した場合も、あまり安全とは言えません。誤送信の宛先相手に悪意があれば、パスワードを入手できなくても、総当たり方式で簡単にパスワードを解析し、中身を参照されてしまいます。

メールを受信した側の手間が大きい

パスワード付きZIPファイルを受信した場合、ファイルを参照するまでに手間がかかります。初めてファイルを開くたびにパスワードを入力する必要があるうえ、ZIPファイルとパスワードを適切に管理しなくてはなりません。

何度も同じ方法でファイルの送受信が必要な場合は、その負担が大きくなり、作業効率を損ねてしまいます。お世辞にも「生産性が高いファイルの受け渡し方法である」とは言えません。

パスワードが盗み見される危険性がある

パスワード付きZIPファイル・パスワードを別々のメールで送ったとしても、いずれか一方だけ盗聴されない保証はありません。悪意ある第三者が盗聴を試みた場合、両メールとも盗み見られてしまう可能性もあるのです。

第一、メールを盗聴されるような状況では、PCが乗っ取られていたり、アカウントが盗まれていたりする恐れも高いでしょう。その場合、別々のメールで送ること自体に意味がありません。

よりセキュアにパスワードを渡したいのであれば、電話やFAXといった異なるチャネルを使って相手に伝えるべきです。ただし、そうすると送信側・受信側ともに手間がかかってしまうなどの新たな問題も浮上します。

ウイルス対策ソフトに感知されないマルウェアがある

企業はウイルス対策ソフトを使うとなどして、従業員のPCがウイルス感染しないように気を配っています。しかし、パスワード付きZIPファイルに関しては、ウイルス対策ソフトに検知されない可能性が高いので要注意です。

実際、パスワード付きZIPファイルの形式をとって、ウイルス対策ソフトに検知されないように工夫されたウイルスも存在します。つまり、せっかくPPAPでセキュリティを高めようとしても、ウイルス対策という意味ではセキュリティの品質を落としてしまっているのです。パスワード付きZIPファイルを装ったウイルスからの被害を予防するため、パスワード付きZIPファイルそのものを受け取らない企業も存在します。

安全にファイル送信するためのPPAP代替案4選

PPAPを禁止する場合、取引先へ安全にファイルを送信する方法を別途確保する必要がありますが、具体的にどのような方法が考えられるでしょうか。以下、代替案を4つ紹介します。

ZIP付きファイルとパスワードをチャットなどの別の通信経路を利用して送信する

通信が暗号化されたチャットツールなど、メール以外の方法でファイルを送受信する方法です。この方法であれば、メールに比べ誤送信のリスクを軽減できます。

ツールによっては、送信後の取り消しやアップロードしたファイルの削除が可能なタイプもあります。ただし、受信側・送信側ともにツールを利用するためのアカウントが必要な点には注意しましょう。

セキュリティが強固なクラウドストレージを利用してファイル共有する

認証・アクセス権限・ファイルの有効期限の設定など、しっかりセキュリティ対策ができるクラウドストレージを使う方法です。こういったセキュリティが強固なクラウドストレージを使えば、取引先とも安全にファイルの受け渡しができます。

ただし、新たにクラウドストレージを採用する場合、初期コストやランニングコストが別途発生する点には注意が必要です。クラウドストレージ自体は、社内のファイル共有にも役立つため、いろいろな用途で利用を検討するとよいでしょう。

法人向けファイル転送サービスを利用する

ファイル転送に特化したサービスを利用するのも手です。法人向けに送信ログ・データ自動削除機能などを備えた、セキュリティに十分配慮したサービスも少なくありません。こういったサービスは、大容量のファイルを送受信することも可能な他、クラウドストレージに比べて権限管理が容易です。最近はHENNGE Secure Downloadのようなメール添付ファイルを自動的にクラウドストレージにアップロードしてくれるサービスも提供されています。

S/MIMEを利用する

「S/MIME」とは、メール暗号化とメール署名を実現する方法です。S/MIMEを利用すれば、添付ファイル付きのメールをセキュアに送受信できます。

ただしS/MIMEを使う場合、送信側・受信側の双方がこの技術に対応していなくてはなりません。さらに、現時点ではあまり普及していないこともあり、実現させるハードルは比較的高めです。あくまで方法の1つとして捉えておきましょう。

なおS/MIMEは、誤送信を対策できる手段ではありません。つまり誤送信対策として、別の手段を併せて導入することも検討が必要です。

PPAPが原因?メールからのサイバー攻撃の事例

パスワード付きZIPファイルの中に、「Emotet(エモテット)」と呼ばれるウイルスを仕込んだサイバー攻撃の事例が確認されています。このウイルスに感染すると、社内情報が盗まれたり、なりすましメールを取引先に送信したりといった被害も発生するため、徹底した注意が必要です。あやしいメールに関しては開かないよう、従業員に充分に周知することが大切です。

PPAPとは?パスワード付きZIPファイルの概要と問題点について

現在では多くの問題があることを認識されているPPAPは政府機関や企業で禁止の方向に。そのようなPPAPの概要や問題点、代替手段について詳しく紹介しています。

PPAPとは?パスワード付きZIPファイルの概要と問題点について

ブログ記事を見る

まとめ

PPAPとは、最初にパスワード付きZIPファイルをメールに添付して送り、次のメールでパスワードを送ることで、安全に相手へファイルを渡す方法です。以前は主流とも言える方法でしたが、「パスワード付きZIPファイルは暗号化強度に劣る」などの問題点が広く知られたことで、今日では使用を禁止する企業が増えてきています。クラウドストレージ・チャットツール・ファイル転送サービスなどであればセキュリィ性が高く、PPAPの代替案として利用可能です。

HENNGE One導入事例集

RECENT POST「メールセキュリティ」の最新記事


メールセキュリティ

標的型攻撃メールの手口と対策方法を解説!便利なツールも紹介

メールセキュリティ

PPAPの代替となるコアツール「オンラインストレージ」とは?

メールセキュリティ

ビジネスメールにおけるPPAP問題とは?安全性について

メールセキュリティ

脱PPAPを実現するクラウドストレージとは?セキュリティ面は?

PPAPの危険性:禁止される理由や代替案を紹介
CTA

RECENT POST 最新記事

CTA

RANKING人気記事ランキング