「パスワード付きZIP」でファイルを暗号化してメールに添付する「PPAP」は、セキュリティ対策として十分ではないことが指摘されています。
それどころか、この方法はウイルスやマルウェアの危険性を助長するもので、誤った対策であることが政府も明らかにして停止を呼びかけています。とはいえ、簡単にやめられない事情もあり、いまだに多くの企業が採用しています。
この記事では、PPAPの危険性や廃止されている背景と脱PPAPソリューションの選び方について詳しく解説します。
関連記事:失敗しないPPAP代替案の選び方
目次
PPAPとは?メール添付で「パスワード付zipファイル」を送る方法
PPAP(ピーピーエーピー)とは、ファイルの受け渡しを社外の相手とおこなう時に、パスワード付きzipファイルを送り、その後別メールでパスワードを送る方法のことです。
P:Password付きzipファイルを送る
P:Passwordを送る
A:暗号化
P:Protocol
PPAPの名付け親である、現・PPAP総研 大泰司 章(おおたいし あきら)さんが日本情報経済社会推進協会(JIPDEC)に所属していた時に、ブームだったピコ太郎さんの『PPAP』(ペンパイナッポーアッポーペン)にヒントを得たと言われています。
名付け親が語る「PPAPをめぐる誤解」
先のPPAPの名付け親である大泰司さんは、こう語ります。
「セキュリティのコンサルタントやベンダーの方がPPAPを“Pマーク対応”として推奨したことからPマークやISMSなどのセキュリティに必要なルールというイメージが持たれ、普及したようです。JIPDEC自身がPPAPを推奨したわけではありません」だと言います。
JIPDEC自身も、「正式に推奨した事実はない」と公表しています。
https://privacymark.jp/news/system/2020/1118.html
また少し余談となりますが、このPPAPは、日本固有の方法で海外では使われません。長く日本のインターネットのメール状況を観察してこられたInternet Secure Services株式会社 最高責任者の徳田 敏文さんは、「お客様にデータを送る時包の丁寧さが、日本人のおもてなしの特性に見合ったのでは」と推察されています。
PPAP廃止の流れ:政府・大手企業の多くが廃止を進める
PPAP廃止の動きが大きく進んだのは2020年です。2020年に当時の平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示しました。これをきっかけに「脱PPAP」の気運は一気に拡がりました。これをきっかけに、民間企業でも廃止の波が拡がり、大手IT系の企業も禁止宣言が出されました。
年 | 月 | 出来事 |
2011年ごろ | PPAPが広く普及する | |
2016年 | 大泰司 章 氏 が PAPPを問題提起 | |
2019年 | 10月 | パスワード付きZIPファイルに「Emotet」感染ファイルが含まれており、被害が拡大する |
2020年 | 10月 | 米国CISAが「Emotet」対策としてパスワードつきZIPのブロックを推奨 |
11月 | 平井デジタル改革担当相が内閣府・内閣官房でのPPAP廃止を発表 | |
2021年 | 5月 | 総務省 – テレワークガイドライン(P80 コラム)でPPAP代替案に言及 |
7月 | NTTデータが社内規定でPPAPを禁止 | |
10月 | 日立製作所が2021年12月より日立グループでのPPAP廃止を発表 | |
2022年 | 2月 | ソフトバンク PPAPの利用廃止をお知らせ |
3月 | 三菱重工 パスワード付き圧縮ファイル利用廃止をお知らせ | |
8月 | 小野薬品工業 「パスワード付きzipファイル」が添付されたメール受信停止をお知らせ | |
11月 | 小学館 パスワード付き圧縮ファイルの 利用廃止をお知らせ |
PPAPをやめるべき理由
PPAPの利用を廃止した企業の発表文によると、PPAP利用を廃止する理由は、パスワード付き圧縮ファイル経由でのウイルス、マルウェアの侵入を防ぐためです。
サイバーセキュリティ対策を一層強化するため(三菱重工)
昨今増加している「Emotet」と呼ばれるマルウェアへの感染を狙った、悪意ある攻撃が世界中で多数確認されています。その中で、パスワード付き圧縮ファイルはセキュリティチェックを回避する感染経路として悪用されています。
このような状況を受けて当社は、サイバーセキュリティ対策を一層強化するためパスワード付き圧縮ファイルのメール利用を廃止しました。
出典:三菱重工 | 当社におけるパスワード付き圧縮ファイルのメール利用廃止について
EMOTET等マルウェアの感染経路として利用されるため(小野薬品工業)
情報セキュリティ強化の一環として、2022年9月19日より、「パスワード付きzipファイル」が添付されたメールを当社グループ会社の担当者宛てに送信された場合、そのメール(本文および添付ファイル)を受け取れない仕様に変更いたします。
Zipで暗号化されたマルウェア(コンピュータウイルス)は、メールセキュリティによる検知が困難であり、そのセキュリティ上の問題点を突いてEMOTET等マルウェアの感染経路として利用されるようになりました。その状況を踏まえ、セキュリティ対策としてパスワード付きzipファイルが添付されたメールの受信を停止するものとしました。
PPAPではzip圧縮ファイルを送信します。zipファイルを受信したユーザが解凍すると、悪意あるウイルスの実行プログラムが含まれている場合もありますが、従来のセキュリティチェックサービスではこれを検知・除去することができません。
出典:当社ウェブサイトの「ドメインの変更」および「パスワード付きzipファイル」が添付されたメールの受信停止に関するお知らせ | ONO CORPORATE
「Emotet」の流行では多くのPPAPを利用する企業が被害を受けました。
ZIPファイル経由で侵入するマルウェア感染のリスク
2万社以上に安全なメールサービスを提供しているサイバーソリューションズは、5400万通のメールを分析しました。その結果、毎年一定の割合で、ZIPファイルにウイルスが潜んでいることが判明しました。
ZIP暗号化していると、マルウェアを検知できず、受信者のPCでウイルスやマルウェアに感染するリスクがあるのです。
セキュリティ対策ソフトを導入している場合、通常のZIPファイルは解凍されウイルスチェックが行われます。しかしながらソフトによっては、パスワード付きZIPファイルの解凍ができず、ウイルスチェックを回避してしまう恐れがあります。
2020年にマルウェア「Emotet」が流行した際には、パスワード付きZIPファイルからの感染を狙い、日本の企業が標的にされました。Emotetの脅威は一時終息しましたが、同様の手法での攻撃が今後もないとは言い切れません。
関連記事:5400万通のメールから見えたサイバー攻撃のトレンド 気を付けたい3つのポイントと対策は?
PPAPを利用する企業が3割、PPAPをやめられない理由とは
2020年には7割の企業がPPAPを利用
セキュリティの啓蒙活動を行うJPAAWGによるアンケート調査によると、2020年には76%の日本企業がPPAPを利用していました。しかし2021年2月には、PPAPを継続利用する予定の企業はわずか27%のみになり、 73%がPPAP廃止または廃止の検討をしています。
「PPAP緊急アンケート PPAPの今」(2021年2月 JPAAWGセミナー資料) をもとにサイバーソリューションズで作図
「脱PPAP」は過渡期、 3割の企業がPPAPを利用
また、サイバーソリューションズが2023年1月に実施した「企業のメールセキュリティへの取り組みに関するアンケート調査」 では、3年後を経過した現在、「PPAPだけを利用する」企業が約3割、「他の方法と併用する」企業が3割という結果でした。
企業の「脱PPAP」(PPAPから他のファイル送信方法への転換)は、7割と過渡期にあると言えます。
同じ調査で「あなたの勤務先では、添付ファイル付きのメールを送った場合に、相手にはどのように届きますか?」という質問に対しては、以下のような結果でした。2番目に多い「メールに圧縮(暗号化)フォルダが添付され、別のメールで解凍パスワードが届く」(41.2%)は、セキュリティリスクが高いいわゆる「PPAP」にあたります。
セキュリティ上、PPAPよりも望ましい対策は「添付ファイルをメールから分離してオンラインストレージにアップして、そのURLがメールで届く」または「オンラインストレージやクラウド環境で共有している」ですが、この導入率は10%台とまだ低いといえます。
PPAPを辞められない理由
それでもPPAPをやめられない理由はなんでしょうか?
サイバーソリューションズのお客様へのヒアリングで多く聞かれたコメントは、以下のようなものです。
- 取引先のセキュリティのルールで、添付ファイルのZIP暗号化とパスワードの送信が定められておりすぐには改変できない。
- 多くの代替策のソリューションでは、暗号化のパスワードを別経路で送るなどのセキュリティ要件を満たせない。
- 取引先が多様で、ルールもバラバラなため、取引先ごとのファイルの送信方法を現場に任せている。
脱PPAPは、受信者への配慮が重要
自社では脱PPAPを進めていても、取引先の視点に立てば、それぞれの企業のルールがあります。こうした場合、多様な取引先のニーズやルールに合わせ、企業は現実的な方法として、以下の方法を選択できるようにしています。
- ファイルをそのまま添付して送る
- 添付ファイルをzip圧縮して、解凍パスワードを別送する(PPAP)
- クラウドサーバやストレージにアップロードし、URLを送る
- クラウドサーバやストレージにアップロードし、クラウド上でウイルス検知をおこない、安全を確認しURLを送り、パスワードは別経路で送る
脱PPAPソリューションの選び方
クラウドストレージ経由ソリューション選定時の留意点
多くのベンダーが「脱PPAPソリューション」を提供しています。ソリューションは、添付ファイルの自動隔離しサーバ経由で送信されるもの、ストレージやサーバにアップロードし、URLを送付するものなどがあり、付随する機能も多岐にわたります。
PPAPに変わる手段として、添付ファイルをメールから分離し、クラウドストレージに保管し、通知したURLからファイルをダウンロードする方法が、安全で多くの「脱PPAPソリューション」はこの方法を採ります。
一般的に「脱PPAP」を標榜するソリューションの多くがこの方法だが、いくつかの注意すべきポイントがあるという。
受信者はダウンロードURLにアクセスしてファイルをダウンロードする為、安全にファイルの送受信が可能です。また相手先が暗号化ZIP(PPAP)で送ってきた場合、添付ファイルを引き剥がし、クラウドサーバー上に置いたデータをスキャン検知して、安全が確認されたデータのみを入手させることが可能かなどです。
脱PPAPは、メールの宛先ごとに送信方法を選択できること
脱PPAP選定のポイントは、メールを送る相手によって選択できるものを選ぶのが良いです。ここでは、メールでのファイル「送信」と「受信」に分けたチェックポイントをご紹介します。
メールでファイルを送信する機能のチェックポイント
ファイル分離送信、PPAP送信、通常送信、パスワード別経路送信などの送信方法を相手先ごとに細かく設定できるソリューションを選択しましょう。
ファイルをメールで受信する機能のチェックポイント
メール送信者がなりすまされていないか、受信したファイルをクラウドで解凍しウイルスチェックを行えるか、チェック後の安全なファイルだけ受信者に送信されるか、こうした機能を備えているソリューションを選択することが望ましいといえます。
脱PPAP製品を選ぶポイントは「自動化」と「多様なニーズ対応」
現在もまだ過渡期にあり、PPAPの代替案も数多く存在します。選択のポイントは、Microsoft 365など業務アプリケーションとの相性が良く、社員の負荷を減らし生産性を向上させるための製品を選択することです。PPAP代替ソリューションの導入では、以下の項目がポイントとなります。
- 「添付ファイルの隔離とウイルスチェック」「誤送信時のファイル削除」「送信履歴確認」「パスワード配送経路の分離」などの機能を、網羅していること
- ユーザーの負担を軽減し、生産性を向上させる「自動化」の機能を備えていること
- 製品独自のルールや手法を一方的に要請するのではなく、現場社員や取引先のニーズに応じてある程度、選択できること
以下の資料などもぜひ参考にしていただき、「脱PPAP」への取り組みを進めていただければと思います。
Microsoft 365 対応の脱PPAP事例 – 株式会社ネットワールド様
ITインフラストラクチャのソリューション・ディストリビュータとして技術製品、関連サービスを提供する株式会社ネットワールドは、PPAP廃止の気運が高まる前から、クラウドストレージを経由した添付ファイル対策を導入していたが、運用は従業員任せ。経営陣から脱PPAP状況への問い合わせに、自信をもって回答ができませんでした。
2021年1月に、Microsoft 365に対応して脱PPAPに対応できるCloud Mail SECURITYSUITE(以下、CMSS)を導入。添付ファイル暗号化やサーバーへのアップロードが自動化され、複数のファイル送信方法が選択できることにより、取引先への対応と自社のセキュリティ強化を両立させることができました。
詳しくは、ネットワールド様の導入事例「Microsoft 365 対応の脱PPAP 添付ファイル分離送信の作業負担がゼロに」をご覧ください。