こんにちは。しろまです。
これまで、メールでファイルの送付を行う際に、パスワード付きZIPファイルにして送付、その後別メールでパスワードを送信する手法(PPAP)を多くの企業で行っていました。

セキュリティを高める意味合いで行われていたのですが、その反面様々なリスクが孕んでいることを、以前より多くの専門家から指摘されていました。
昨今Emotetの被害が相次いだことで政府をはじめ各企業でPPAP廃止が進んでいます。

今回は、そのPPAPについてまとめていきます。

PPAPとは

プライバシーマークの運営元であるJIPDECに当時所属していた 大泰司 章氏 により、以下の頭文字からとられ命名されました。

P：Password 付きZIPファイルを送ります
P：Password を送ります
A：Angoka （暗号化）
P：Protocol （手順）

2020年11月、デジタル改革担当大臣の平井卓也氏より、内閣府と内閣官房でPPAPを廃止すると発表したことで広く一般的に知れ渡ることになりました。

なぜPPAPが利用されてきたのか

利用されてきた理由として大きくは2点あります。
まずは、メール送受信間の盗聴防止です。
通信経路が暗号化(SSL暗号化)されていれば盗聴されることはありません。
しかし、送信側と受信側の双方で暗号化を実施する必要があり、どちらか
一方が暗号化されていなければ盗聴されるおそれがあります。
通信経路が暗号化されていない場合を考慮し、添付ファイルをZIP暗号化することで盗聴防止になると考えられ利用されてきました。

もう一点は、メール誤送信による情報漏洩防止です。
ZIP暗号化ファイルのメールと、パスワードメールを2回に分けて送信するため、仮にZIP暗号化ファイルのメールを宛先を誤って送信してしまっても、パスワードメールの送付前に気づけば情報漏洩を防ぐことができます。

ちなみに、PPAP手法は日本独特の慣習になっており、海外ではほとんど利用されていません。むしろ、海外ではZIPファイル付きメールは怪しまれてしまい受信拒否をされてしまいます。

PPAPの問題点と危険性

ファイルをZIP暗号化すれば盗聴防止になるとされていましたが、同一経路でパスワードメールを送付するため、パスワードが盗聴されれば、ZIP暗号化ファイルは容易に解凍されてしまうため意味がありません。

情報漏洩防止の観点でも問題があります。
パスワードメールの送付前に、誤送信に気づけばよいですが、人がやることなので、見過ごす可能性は大いにあり、万全な手法とはいえません。

また、ZIP暗号化されたファイルはセキュリティソフトでは解析ができないため、もし中身にマルウェアが仕込まれていた場合は、検知できずにすり抜けてしまいます。
そこをついたのが近年猛威を振るっているEmotetになります。
日本の企業ではPPAPの慣習があるため、ZIP暗号化されたファイルは特段怪しむことなく開いてしまうため、Emotetの感染が広がっていきました。

おもな代替手法

前述した通りPPAPは問題点が多いことと、送信側と受信側でともに手間がかかり余分な工数がとられてしまうこともあり、利用しないもしくは推奨しない企業が増えています。

代替手法としては、以下があります。

・ファイル転送サービス

・添付ファイルのダウンロードリンク化

・オンラインストレージ

上記代替手法について、それぞれ特性もあり利用シーンや用途によって一長一短ありますが、いずれにしても脱PPAPを実現できる手法になります。

まとめ

私は以前、運用監視業務を行っていた際、PPAPを頻繁に使用していました。
大量のアラートメールを受信した際はテキストにまとめたうえで、PPAPで顧客担当者へ送付していました。
「○○分以内に送付」というSLAと、顧客毎にパスワードの指定があったこともあり、非常に苦労したことを覚えています。

今は、「ファイル転送サービス」と「添付ファイルのダウンロードリンク化」を送付相手や用途に合わせて使い分けています。

PPAPは利用することでセキュリティリスクを高めてしまい、送信側も受信側も手間がかかってしまうため、メリットはあまりありません。
出来るだけ早く脱PPAPを実現したほうがより幸せになれると思います。

著者：