こんにちは。YUKI(@freedom_0117)です。
今回は、ビジネスメールにおけるファイル送受信で使用されていることが多い「PPAP」についてご紹介したいと思います。参考記事はこちらです。
『日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了』
https://xtech.nikkei.com/atcl/nxt/column/18/00001/05086/?P=2
こちらの記事では、日本の大手電機メーカーである日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになったという内容について記載されています。
実際に私が働いている企業でもPPAP形式の電子メールがやりとりされており、身近に感じています。
では、いったいなぜこのPPAPの全面禁止の動きが進んでいるのでしょうか?PPAPとはいったい何なのか?どんなリスクがあるのか?といったことについて引き続きご説明していきます。
目次
PPAPとは何なの!?
PPAPは、「ファイルをZIP形式で圧縮し、そのZIPファイルを暗号化してパスワードで保護し、メールに添付する」「それを解凍するパスワード入りメールを別送する」ことで、機密情報などを含んだZIPファイルが万一流出した場合に、悪意のある第三者に閲覧されないようにしよう、という考え方です。
PPAPについて簡単に説明する場合、以下のようになります。
PPAPの持つリスクとは!?
一見、「暗号化され、送受信されているんだから安全なんじゃないの?」と思う方もいらっしゃると思います。ここでは、PPAPのリスクについてご説明します。
1.ハッキングリスク
PPAPでは、パスワードを付けたZipファイルを送る前後で、「先ほどお送りした(これからお送りする)ファイルのパスワードは○○」というメールを別に送信されます。
第一に、電子メールは送信者から受信者に届くまでにいくつかの組織のメール転送手順を介し、その間は暗号化されているとは限りません。つまり、目的の相手に届くまでの過程で攻撃者に盗聴されてしまうリスクがあります。さらに、zipファイルを添付したメールとパスワードを記載したメールとで、同じ手段・ルートで送受信されるため、攻撃者の手に渡る可能性が極めて高いのです。
2.マルウェア対策が不十分
バックドア攻撃のように、進入しやすくするために抜け道が作られ、何か仕掛けられていた場合、通信そのものが傍受される、または通信機器そのものがハッキングされてしまうと容易にファイルの情報は取得されてしまいます。
さらに、パスワードが掛かっているファイルはウイルススキャンが通りにくいという懸念もあります。圧縮されているものが悪意を持ったマルウェアの場合、スキャンをすり抜け、相手方の環境へ侵入し、そこからウイルス感染が始まるという報告もあるそうです。
まとめ
以上のように、PPAPについては導入のメリットよりもデメリット(リスク)が非常に目立ち始めていると言えます。日本政府としても、平井卓也デジタル改革担当大臣が2020年11月に内閣府と内閣官房でPPAPを廃止すると発表しており、今後は日立製作所だけでなく、各企業で禁止の動きは進んでいくことが考えられます。