安全と思われたppapに落とし穴!?ppap問題について徹底解説

コラム NO IMAGE

日常生活において、メールを使用する機会は多いのではないでしょうか。

個人や企業を問わずにメールは活用されていますが、ビジネスシーンにおいてはメールを使用することが多くなっています。

そのため、メールで各種データを送受信する際にはセキュリティにも注意しなければならないのです。

本記事では、メールでデータを送受信する際に発生するppap問題について詳しく解説します。

目次

ppapについて

ppapとは、どのようなものなのでしょうか。

企業において情報セキュリティとは極めて重要な要素であり、何らかの対策を講じる必要があります。

そのため、情報セキュリティの観点においてppap方式を採用している企業が多いのです。

ppapとは、zip形式にて圧縮して暗号化されたファイルをメールに添付して送信した際、受信者に対して該当ファイルを展開するためのパスワードを別途メールで送信する手法です。

なお、ppap方式の名称はそれぞれの頭文字から来ており、詳細は次のとおりです。

p:password付きzip暗号化ファイルを送る  p:passwordを送る  a:暗号化する(最初のAを採用)

p:protocol(プロトコル=手順)

ppap方式の歴史はそれほど古いものではなく、2010年代頃より活用されて来た手法となっています。

ppap方式の特徴は、ファイルを添付した1通目とパスワードを記載した2通目が別々のメールで送信されることです。

1通目のファイルを添付したメールを誤送信したとしても、2通目のパスワードを記載したメールを送信する前に誤送信に気付くことで情報漏えいの防止に期待されて来ました。

また、メールを送信者以外に閲覧された際の対策も兼ねていました。

これらのことより、情報漏えいやセキュリティ対策の一環としてたくさんの企業が採用してきた経過があるのです。

日本政府の動向とは

2021年9月には、日本政府においてデジタル庁が発足されました。

デジタル庁の組織体制は、約600人で構成されています。

内数は、各省庁等から集められた人員約400名と民間出身者約200人で構成されています。

デジタル庁は、内閣府および11の他省庁には属していないため、多数に展開されている各省庁間において横断したデジタル改革を視野に入れています。

デジタル庁の発足とは、日本政府がデジタル化を重要な課題であると認識していることの表れであり、さまざまな施策等は民間会社である大手企業を中心として中小企業にも大きな影響を与えることが想定されます。

デジタル大臣である河野太郎氏も、「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘しています。

それらの背景もあり、2020年11月26日から日本政府の中枢である中央省庁においても、パスワード付きzipファイルを送信する方式を廃止し、外部の組織とのやりとりにはストレージサービスを活用するなどの切り替えが実施されています。

ppapの問題について

日本政府からも、情報セキュリティに対して万全ではないppap方式は推奨されていないことが伺えます。

ここからは、具体的なppap方式の問題について詳しく解説します。

1.セキュリティレベルの低さ

ppap方式では、ファイルが添付されたメールとパスワードが記載されたメールを別々に送付する手法を採用しています。

しかし、セキュリティレベルの低さに起因してメールを2通とも不正に閲覧されていては全く意味がありません。

2.メールの送信方法

ppap方式では、ファイルが添付されたメールとパスワードが記載されたメールを2通送信します。

そのため、誤送信先に2通ともメールを送信してしまう可能性が極めて高いといえます。

例えば、2通目のパスワードが記載されたメールを1通目とは違ったメールアドレスに送信するのであれば有効的ですが、同じメールアドレスに対して2通とも送信する手法となっているため、あまり効果はないとされています。

3.パスワードの解析

ppap方式では、zip形式にて圧縮して暗号化されたファイルをメールに添付して送信した際、受信者に対して該当ファイルを展開するためのパスワードを別途メールで送信します。

大きな問題となっているのが、zip形式にて圧縮して暗号化されたファイルを展開するためのパスワードが容易に回帰されてしまうことです。

パスワードの解析には専門的な知識は必要とせず、zip形式に圧縮する際に使用されている「ZipCrypt」の方式で暗号化したファイルは、一般的に流通している解凍ソフトを使用することで容易にパスワード解析ができるのです。

そのため、パスワードを設定している意味がないことになります。

4.ウイルスチェックの透過

ppap方式で採用されているパスワード付きzipファイルは、流通しているさまざまなウイルス対策ソフトのチェック機能を透過してしまうのです。

そのため、「トロイの木馬」と称されるマルウェアをパスワード付きzipファイルにして送付する、サイバー攻撃が多発しているのです。

トロイの木馬を回避するため、企業によってはそもそもパスワード付きzipファイルを受信拒否としている設定にしているところもありますので、注意が必要です。

ppapの対策について

上述したように、ppapにはさまざまな問題が潜んでいることから、使用するにあたって細心の注意が必要です。

ここからは、具体的なppapの対策について詳しく解説します。

1.送信経路の見直し

同一ネットワークを使用して2通のメールを送信することで、ネットワークの盗聴被害に遭うことが想定されます。

そのため、1通目は普通にメールを送信し、2通目のパスワードを記載したメールはクラウドを活用するなど送信経路を別途確保することで対策を講じることが可能です。

しかし、上述した手法でも完全にリスクを回避できるわけではないため、zipファイルを直接メールで送受信することを再検討する抜本的な検討が必要であると言えます。

2.ファイルへの限定アクセス

暗号化されたzipファイルにアクセス制限が設けられていないことにより、何度でもパスワードの入力を試みることができます。

それらを回避するためには、クラウドに受信者のみがアクセスできる権限を付与したファイルをアップし、クラウドからダウンロードするためのURLを伝えます。

本手法では、アクセス権限が付与された人だけが限定的にファイルをダウンロードできますので、有効的であると言えるでしょう。

まとめ

ここまで、メールでデータを送受信する際に発生するppap問題について詳しく解説しました。

zip形式にて圧縮して暗号化されたファイルをメールでやりとりすることは、それほど珍しくない手法であると言えるでしょう。

しかし、上述したppap問題からも分かるとおり情報セキュリティの観点からは万全であるとは言えません。

そのため、データのやりとりをする手法そのものを抜本的に見直す必要があると言えるでしょう。

本記事が、ppap問題に端を発する被害抑制の一助となれば幸いです。

【参考記事】

PPAP問題とは?危険性と有効な対策を解説!
https://www.re-stec.co.jp/column/file-transfer/ppap-security
NO IMAGE
最新情報をチェックしよう!