セキュリティ

パスワード付きzipとパスワードを別メールで送るPPAPの問題点

暗号化したZIPファイルと復号化パスワードを別メールで送るのって、何か問題があるの?


ファイルを一部の人間にしか見せたくない場合、あらかじめパスワードをかけておくことでパスワードを知っている人間にしか見せないという方法がある。

これを他者とのファイルのやりとりに応用すると、漏洩したくないファイルを相手に送るとき、パスワード付きZIPファイルにすることで他の人の手に渡っても開けないようにするという「PPAP」と呼ばれる手法だ。


しかしこのPPAPは問題があるとされている。

一体何が問題なのか。

そこで今回はパスワード付きzipとパスワードを別メールで送るPPAPの問題点について紹介する。

この記事を書いている人


システムエンジニア、AIエンジニアと、IT業界で10年以上働いている中堅。PythonとSQLが得意。以前に旧セキスペを取得。

記事を読むメリット

パスワード付きzipとパスワードを別メールで送るPPAPの問題点がわかり、セキュリティに少し詳しくなる。


パスワード付きzipとパスワードを別メールで送るPPAPとは

PPAPとは以下の文の略。

Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)

パスワード付きzipを送って、パスワードを別で送る暗号化プロトコル。

途中で日本語が入っていることからわかるように、和製の俗称である。

PPAPによるファイルの送受信は、次のような段階によって行われる。
1.送信者は、ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。
2.送信者は、1.で送信した添付ファイルのパスワードを、別途メールにて送信する。
3.受信者は、送信者から受け取った添付ファイルとパスワードによってファイルを復号し、中身を得る。

参考:PPAP (セキュリティ) - Wikipedia


日本国内の企業でよく使われていたし、今でも使っている会社がある手法だが、何が問題なのか。



パスワード付きzipとパスワードを別メールで送るPPAPの問題点

ではPPAPの問題点とは何なのか。

以下のような点がPPAPの問題点として挙げられる。

ココに注意

  • 漏洩対策にならない
  • ウイルスやマルウェアに弱い
  • 対応コストが大きい


順に説明する。



漏洩対策にならない

PPAPの問題点のひとつは漏洩対策になっていないということ。

メールに添付したzipファイルが漏洩する時点で別メールに書いたパスワードも漏洩するので、漏洩対策として意味をなしていないのである。

漏洩対策をしたいのであれば少なくともパスワードはメールではなく、メッセージアプリ等の別の手段で送るべきだろう。

それでも後述する他の問題点は解決できない。



ウイルスやマルウェアに弱い

PPAPの他の問題点としては、ウイルスやマルウェアに弱いという点が挙げられる。


ファイルを送信する際に暗号化することで、もしファイルにウイルスやマルウェアが混入していたとしても送受信の経路では検知できなくなってしまう

実際にマルウェアを懸念してPPAPを廃止した企業もある。

同社は「パスワード付き圧縮ファイルは、昨今増加している『Emotet』などのマルウェアの感染経路に利用される場合があり、当社でもこのようなメールの受信を確認した」と説明。情報セキュリティ強化のため、廃止を決めた。

参考:ソフトバンクが“PPAP”廃止 「Emotet」などのマルウェアを警戒 - ITmedia NEWS



対応コストが大きい

PPAPの問題点のひとつとして、対応コストが大きいことも挙げられるだろう。


PPAPを手動で行うとすると送信側は

  • ファイルの暗号化
  • メール送信
  • パスワードの送信

と3手間かかるし、受信側も

  • メールから添付ファイルを確認
  • 別メールからパスワードを取得
  • パスワードを使って添付ファイルを展開

と3手間かかる。

自動化しようとすると今度はシステム導入しなければならず、導入費やランニングコストがかかってくる。

対応するだけで結構面倒な代物なのである。

たしかにパスワード付きZIPファイルを送ってもらってから中身見るまでに結構かかりますね。。。



政府でも廃止されるPPAP

このように実は問題点が多く、セキュリティ対策になっていないPPAP。

そして実はPPAPは日本政府でも使われなくなっている


2020年の11月にPPAPを内閣府、内閣官房で廃止すると発表している。



PPAPの代替案

パスワード付きzipとパスワードを別メールで送るPPAPは使うべきではない。

では代替案はあるのか。


以下のような手段が代替案として挙げられる。

ココがポイント

  • メール添付ファイルのダウンロードリンク化
  • ファイルを転送サービスにアップロードしリンクを送信
  • オンラインストレージに共有フォルダを作成して権限管理


前2つは1回限りの送信に便利で、オンラインストレージは長期のプロジェクトで使う場合に良いだろう。



まとめ

今回はパスワード付きzipとパスワードを別メールで送るPPAPの問題点について紹介した。

PPAPの問題点としては以下の通り。

ココに注意

  • 漏洩対策にならない
  • ウイルスやマルウェアに弱い
  • 対応コストが大きい


実は漏洩対策にもなっておらず、暗号化によってマルウェアが侵入するリスクもあるので、非推奨の方法となっている。


PPAPの代わりの1つとしては、オンラインストレージ上に共有ディレクトリを作成し、ファイルを受け渡ししたい相手にアクセス権を設定すると良いだろう。


効果の無い対策に負荷をかけるよりは別の対策をしたいですね



他にもセキュリティに関する記事もあるので、もし気になるものがあれば見てみて欲しい

ITipsと同じようなブログを作る方法

ブログに興味がありますか?

もしブログに興味がある場合は↓このページ↓を参考にすれば、ITipsと同じ構成でブログを作ることができます

サーバー、ドメイン、ASPと【ブログに必要なものは全て】このページに書きました。
同じ構成でブログ作るのはいいけど、記事はマネしないでネ (TДT;)

ランキング参加中

にほんブログ村 IT技術ブログへ

他にもブログやSNSで紹介してくれると励みになります。

はてブのコメントで酷評されると泣きます(´;ω;`)

-セキュリティ
-, ,

© 2022 ITips