proofpoint Blog 第1回「さよなら PPAP ~ やってはいけない PPAP 代替策」 | ScanNetSecurity
2021.09.26(日)

proofpoint Blog 第1回「さよなら PPAP ~ やってはいけない PPAP 代替策」

海外ではパスワード付き Zip ファイルがメールで来ると「マルウェア(ウイルス)が来た!」とセキュリティチームで盛り上がるという話もあるなど、その扱いが日本とはまったく違った状況です。

脆弱性と脅威
proofpoint Blog 第1回「さよなら PPAP」
  • proofpoint Blog 第1回「さよなら PPAP」
 デジタル改革相の平井大臣が、パスワード付き Zip ファイルをメールで送って、あとからその Zip ファイルのパスワードをメールで送るという自動暗号化 Zip ファイルの慣習を 2020 年 11 月 26 日からやめると宣言し、話題になりました。(註 1)

 デジタル改革アイデアボックスにこの慣習に関する多数の投稿が寄せられたことがきっかけで、捺印の廃止と同様、意味がないことは止めようということになったようです。つまり、この慣習をセキュリティ的にも、利便性の観点からも適切ではないと判断したことになります。

 このニュースを目にした人々の反応は大きく分けて、2 つあったかと思います。「やった!ようやく理解したのか。」という反応と、「え、じゃぁどうすればいいの?」という二つの反応です。

 このブログでは、PPAP のメリデメとそれに代わる代替案についてご紹介したいと思います。

● PPAP とは

 実は、このビジネス習慣、日本では以下の頭文字をとって PPAP とも呼ばれ、嘲笑めいた雰囲気をまとっています。
(命名者の大泰司氏が、ピコ太郎さんからインスピレーションを受けて命名されたようで、ピコ太郎さんのことではありません。)

PPAP とは?(註 2)
・Password つき zip 暗号化ファイルを送ります
・Password を送ります
・Aん号化(暗号化)
・Protocol

 一方で、海外ではパスワード付き Zip ファイルがメールで来ると、「マルウェア(ウイルス)が来た!」とセキュリティチームで盛り上がるという話もあるなど、その扱いが日本とはまったく違った状況であることも分かります。

 パスワード付き Zip ファイルは、セキュリティ製品の中身を完全に検査できるものではないこともあり、海外ではパスワード付き Zip ファイルをメールで送付することはほぼありません。しかし日本では長年の間、この奇習が染みついてきました。

 ここで、PPAP の問題を整理してみたいと思います。

● PPAP のメリット

 まずは PPAP のメリットと考えられていた事項と、現在の状況をお伝えします。

1.メールの途中経路での盗聴防止
 おそらくこれが PPAP をおこなう最大の理由だったのではないかと思います。メールが盗聴された際に、メール自体を入手されたとしても、添付ファイルをパスワード付きの Zip ファイルにしておけば、ファイルの中身までは見られない、というものです。ただし、残念ながらパスワードも同じ経路で送っているのであれば、意味がありません

2.誤送信対策
 最初のファイル添付時に気づけなかったとしても、あとからパスワードを送る際に送付先の誤りに気づくことがあります。これが誤送信対策になると考えられてきました。ただし、昨今添付ファイルを自動でパスワードつき Zip に変換し、パスワードも後から自動で送付するサービスが登場することによって、こういった製品を使っていた場合は、誤送信対策としては使えなくなりました

3.プライバシーマーク対策??
 プライバシーマークを取得する際の要件に PPAP の運用が必要である、という神話もありました。しかし、プライバシーマークを発行している JIPDEC 自体が PPAP を従来から推奨していないと発表しました。(註 3)

4.受信者側の利便性
 PPAP は、受信者側でも送信者側でも、特段新しいソフトウェアや、何かのサービスへの登録の必要がありません。これのみが PPAP のメリットとして残っている唯一のポイントではないでしょうか?

● PPAP のデメリット

 一方で、デメリットはかなり深刻です。

1.セキュリティ製品で検知できず
 サンドボックスをはじめ多くのセキュリティ製品では、パスワード付き Zip ファイルの中身を検査することができない実情があります。もちろん、メールの本文に含まれるパスワードを抽出したり、パスワード辞書を使って Zip ファイルをこじ開けて中身を検査する製品もあります。しかし、メールに含まれるパスワードの検出が困難だったり、パスワードの桁数が長くて解けない場合もあり、Zip を開けられない場合はそのまま検査されずに送信されてしまいます。

2.業務負荷
 人力で Zip を作り、パスワードをあとから送付するやり方は、送信者側だけでなく、受信者にも負荷がかかることがあります。特にしばらくしてからメールを開く場合などには、別送されたパスワードの行方が分からなくなることも多々あります。また、最近では携帯電話等でメールを確認することが増えていますが、携帯電話では Zip ファイルを開くことはできません。

3.攻撃者の悪用の本格化
 おそらくこのタイミングで、PPAP の使用が廃止されるのは、攻撃者のパスワード Zip の悪用が本格化したせいかと思います。日本を含み世界で大規模に攻撃を展開している Emotet もパスワード付き Zip を利用した攻撃の展開が行われるようになりました。

● やってはいけない PPAP の代替策

 上記のことから、PPAP とサヨナラするのが得策であることは明白なはずです。では PPAP の代替策としてどのようなことが考えられるのでしょうか?まずよくありがちな間違いの例をあげます。

1.平文でファイルを送る、パスワードなし Zip、パスワードなしリンク
 脱 PPAP と聞いて勘違いしてしまいそうなのが、暗号化しない平文のままのファイル、パスワードなしの Zip ファイルのメール送付や、パスワードなしのダウンロードリンクをメールで送付することです。これでは、メールを盗聴された場合のリスクがそのまま残ってしまいます。

2.メールでパスワード付き Zip を送付した後、別の手段でパスワードを送付
 メールで今までのようにパスワード付き Zip ファイルを送付した後に、例えば電話や SMS など別の手段でパスワードを伝える策もよく聞かれます。ただし、この場合、セキュリティ製品で完全に検査できないというリスクが残ったままとなり、これもお薦めできません。

● PPAP の代替策

 PPAP に代わる代替策を考える際には、メールで送付される情報の機密性の担保、そしてセキュリティ、利便性の 3 点から検討する必要があります。

1.認証機能つきファイル転送サービスの活用
 もっともお手軽な対応策としては、認証機能つきのファイル転送サービスの利用です。受け取り側のユーザーの認証機能がついていないものは、平文でファイルを送るのに等しいことになるので、注意しましょう。

 Proofpoint では Proofpoint Secure Share という認証機能つきファイル転送サービスをご用意しています。

2.ファイル共有サービスに CASB でアクセスコントロールを付加する
 クラウドのファイル共有機能に、CASB でコントロールを制御するという選択肢もあります。ただし、自社のテナントにあるファイルを部外者に共有できる設定にしてある企業は限られるため、これは選択肢にならない場合が多いかもしれません。

3.メールの暗号化
 メールで送信される情報の機密性保持を真剣に考えるならメールの暗号化があります。メールの暗号化としては、S/MIME などがありますが、暗号鍵の管理が煩雑になることからなかなか導入が進んでいない実情があります。

 Proofpoint では暗号鍵の管理をクラウドを活用することで運用しやすくした DLP 機能つきの Email Encryption をご用意しています。こちらを利用すると、携帯電話でも暗号化されたメールの内容を確認することが可能になります。


● 詳細:オンデマンド ウェビナー
 PPAP の問題点と代替策について具体的にお知りになりたい方は、ぜひ弊社のオンデマンド ウェビナーをご活用ください。すぐに視聴することが可能です。ウェビナーでは、30 分で PPAP の問題点を理解でき、本来メールセキュリティがあるべき姿を確認するヒントをお伝えしています。
 「ウェビナー:さようならPPAP パスワードZipファイル運用から正しいメッセージングへ - 30分で分かるPPAPに代わる対処法 - 」


註 1. 日本経済新聞「自動暗号化 ZIP ファイル廃止 内閣府と内閣官房」2020 年 11 月 24 日

註 2. 情報処理 2020 年 7 月号別刷「《小特集》さようなら,意味のない暗号化 ZIP 添付メール」

註 3. 一般社団法人日本情報経済社会推進協会「メール添付のファイル送信について」2020 年 11 月 18 日
《日本プルーフポイント株式会社 シニア エバンジェリスト 増田 幸美( Sohta Yukimi )》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

    「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  2. 典型的なアンケート詐欺を「Instagram」アプリ上でも確認(トレンドマイクロ)

    典型的なアンケート詐欺を「Instagram」アプリ上でも確認(トレンドマイクロ)

  3. 異なる場所でのログインや確認コードで騙す、偽Amazonメール(フィッシング対策協議会)

    異なる場所でのログインや確認コードで騙す、偽Amazonメール(フィッシング対策協議会)

  4. IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

  5. ソフトバンク光BBユニット E-WMTA2.3 にクロスサイトリクエストフォージェリの脆弱性

  6. 「ウイルスバスター」に、マルウェアの検出を回避される脆弱性(JVN)

  7. ETC利用照会サービスをかたるフィッシングに注意喚起

  8. 「UltraVNC repeater」に、任意のホストのポートに接続させられる脆弱性(JVN)

  9. (2015年10月8日) 温帯低気圧に変わった台風23号により北海道地方で激しい雷雨のおそれ(気象庁)

  10. 「FedEx」や「UPS」など運送会社や航空会社を騙るメールに注意(トレンドマイクロ)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×