PPAPはなぜ危険?
PPAPメールを
廃止する理由と代替策
メールを使ったファイル共有方法として広く普及した「PPAP」ですが、
近年ではそのリスクが問題視されており、
政府や大手企業などでもPPAP廃止の動きが進んでいます。
本記事ではPPAPの危険性や廃止することでのメリット、
廃止後の代替案についてご紹介します。
PPAPとは?
PPAPとは、パスワード付きZIPファイルを送信し、その後パスワードを別メールで送る手法の頭文字をとった呼び方です。メールでファイルを共有する際のセキュリティ対策として、日本の多くの企業・団体で慣例化されていましたが、元々の目的がセキュリティレベルを担保するための暗号化ではないため、様々なセキュリティリスクを抱えています。
PPAPの問題点
マルウェア感染のリスク【受信時】
多くのセキュリティ製品では、パスワード付きZIPファイルに含まれるウイルスの検知ができないものが一般的であり、ウイルス対策製品を導入していてもすり抜けてしまうという問題点があります。そのため、ウイルス対策製品を導入していたとしても、パスワード付きZIPファイルが外部から送信されたら、意味をなさないのです。
昨今この仕組みを悪用し、パスワード付きZIPファイルを添付し、ユーザーに解凍させることでマルウェアに感染させようとする事例が報告されており、対策を講じる必要があります。
メール経路の盗聴のリスク【送信時】
メールの送信時における盗聴リスクとして、特にファイルとパスワードが第三者に渡る危険性があります。PPAP方式ではファイルとPWを別々のメールで送る形式が一般的となっており、両方が同じ通信経路を通って同じ受信者に届きます。そのため、通信が盗聴されたり、宛先を誤ったりすると、意図しない第三者にファイルが閲覧される恐れがあります。その結果、情報漏えいのリスクが非常に高くなり、セキュリティ上大きな懸念が生じます。
ZIPパスワードの脆弱性【送信時】
パスワード付きZIPファイルはパスワードの入力が繰り返し可能であるため、簡単な解析ツールによって突破されてしまう恐れがあります。
そこで、ZIPファイルのパスワードが一般レベルでどれくらいの時間で実際に解読できるのか検証しました。その結果、サンプルとして設定した「英小文字」を用いた6桁のZIPパスワードは、わずか1秒で解読されてしまうことがわかりました。
いくつかのパスワード文字列でZIP暗号化したファイルを用意し、その解読にかかった時間が下の表です。
| パスワード文字列 | ケタ数 | 文字列組み合わせ | 解読時間※1 |
|---|---|---|---|
| zansin | 6ケタ | 英小文字 | 1秒未満 |
| zansinzz | 8ケタ | 英小文字 | 20秒 |
| zansin01 | 8ケタ | 英小文字+小文字 | 2分13秒 |
| Zansin01 | 8ケタ | 英小文字+英大文字+数字 | 2日6時間(注:最長見込み) |
| zans!n01 | 8ケタ | 英小文字+英大文字+数字+記号※2 | 55日13時間(注:最長見込み) |
| 20210601 | 8ケタ | 数字 | 1秒未満 |
| 202106012045 | 12ケタ | 数字 | 2分51秒 |
- ※1 表の各パスワードの「文字列組み合わせ」での総当たり方式で解読。ケタの少ない方から順に解読していき、かかった時間を合算して記載しています。一部は解読終了までの最長の見込み時間を記載。
- ※2「記号」には33種を想定。«space»!〟#$%’()*+,-./:;<=>?@[¥]^_`{|}~
- 「ZIPファイルのパスワード」について詳しく知りたい方はこちらの記事も併せてご覧ください。
- > 有名ドラマで使われた「zansin」なパスワードも1秒解読 ZIPファイルのパスワード
また、ZIPパスワードの暗号強度についても問題視されています。現在、主に利用されているZIPファイルの暗号化方式としては、「AES-256」と「Standard ZIP 2.0(ZipCrypto)」の二種類があります。
「AES-256」は比較的強度の高い暗号化形式とされていますが、対応OSが限定的であるため、使用されるシーンが多いのは「Standard ZIP 2.0(ZipCrypto)」となります。「Standard ZIP 2.0(ZipCrypto)」の暗号化方式は設計が古く、特定の攻撃手法に対する弱点も発見されています。そのため、専用のソフトウェアを使用すれば比較的容易に解読されてしまい、機密情報の保護には適していないといわれています。
一方で、比較的セキュリティ強度の高い「AES-256」で暗号化していたとしても、ファイルとパスワードを同じ通信経路で送信する「PPAP方式」では、通信が盗聴された場合、情報漏えいリスクが生じます。このようにZIPパスワードの脆弱性もPPAPの課題の一つであるといえます。
PPAP廃止への動き
PPAP廃止の動きは2020年にデジタル庁が『中央省庁の職員が文書などのデータをメールで送信する際に使用する「ZIP暗号化」ファイルを廃止する方針』の発表をしたことをうけ、一気に拡大しました。これをきっかけに民間企業でも廃止の動きが加速し、IT系企業でも禁止宣言が発表されました。
PPAP廃止の発表を行った企業の一例
| 企業名 | 公表時期 | 詳細 |
|---|---|---|
| 日立製作所 | 2021年10月 | すべてのメール送受信において、パスワード付きZIPファイルの利用を廃止する旨を告知 出典:株式会社日立製作所「日立グループにおけるパスワード付きZIPファイル添付メール (通称PPAP)の利用廃止に関するお知らせ」 |
| 日清食品 | 2022年11月 | 社内規定を改定し、PPAPの使用を全面的に禁止 出典:日清食品ホールディングス「パスワード付きZIPファイル添付メール (通称PPAP) の利用廃止に関するお知らせ」 |
| ソフトバンク | 2022年2月 | 業務で使用するメールアカウントにおけるPPAP利用の廃止 出典:ソフトバンク株式会社「当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ」 |
| カシオ計算機 | 2022年3月 | 受信メールにパスワード付きZIPファイルが添付されていた場合には添付ファイルを自動で削除 出典:カシオ計算機株式会社「パスワード付き圧縮ファイルの利用廃止に関するお知らせ」 |
| キヤノンMJ | 2023年4月 | 社内規定により、全ての受信メールにおいて、パスワード付き圧縮ファイルの利用を廃止 出典:キヤノンマーケティングジャパン株式会社「パスワード付き圧縮ファイル(通称:PPAP)の利用廃止に関するお知らせ」 |
この他にも、SCSKや伊藤忠テクノソリューションズ(CTC)など様々な企業が脱PPAPへと乗り出しています。さらにJIPDEC※もPPAPの廃止を推奨しており、今後も脱PPAPの動きが継続すると予想されます。
- ※ 出典:JIPDEC「メール添付のファイル送信について」
PPAPを廃止するメリット
セキュリティの向上
これまで述べてきたようにPPAP運用には様々なセキュリティリスクが伴います。そのため、送信・受信ともにPPAPの対策を推進することで、セキュリティが大幅に強化され、マルウェアやウイルスに感染するリスクを低減させることが可能です。
また、代替のセキュリティ対策を導入することで利便性を向上させつつPPAP運用におけるセキュリティリスクを低減できます。例えば、オンラインストレージを用いたファイル送信サービスやファイル自体に暗号化をかける方式を導入することで、より安全なファイル共有が実現可能となります。
業務効率アップ
脱PPAPは業務効率の向上にもつながります。PPAP運用は多くの手順を伴い、送信者と受信者の間でのやり取りが増えるため時間と労力がかかります。送信側では、ZIPファイルの圧縮、パスワードの生成および送信など、それぞれのプロセスを手動で行う必要があります。また、受信側ではファイルの解凍や、ファイルを確認するためにパスワードが記載されたメールを待つ必要があります。さらには、パスワードの誤入力による手戻り作業など、手間を増やす要因が多く存在しており、送信側と受信側の両方に負担を強いるため、非常に非効率な運用方式となっています。
そこで、PPAPの代替案として、安全で効率的なファイル共有方法(クラウドストレージを用いたファイル共有やセキュアなファイル転送サービス)を採用すれば、これらの手間が大幅に削減されます。結果的に、プロジェクトの進行や情報の伝達がスムーズになり、全体として業務効率を向上させることが可能となります。
クライアントからの信頼性の向上
脱PPAPへの取り組みは自社だけでなく取引先の企業のセキュリティレベルや業務効率の向上にも寄与するため、クライアントとの信頼関係を深めることにつながります。
一方、PPAPの利用を継続することは、取引相手にもメール送受信時のセキュリティリスクや運用にかかる手間を押し付けることになってしまいます。そのため、PPAPのリスクが周知されてから、多くの企業がより安全なファイル共有方法を求めるようになりました。実際に、社内規定でパスワード付きZIPファイルの受け取りを拒否する企業も増えてきており、社会全体で脱PPAPの動きが加速しています。
このように脱PPAPの取り組みを行い、現代のセキュリティニーズに対応することで、取引先との信頼関係の構築することができます。また、クライアントの信頼を得ることで、ビジネスの拡大や新たなプロジェクトの獲得も期待できるかもしれません。
課題を解決するPPAPの代替策は?
PPAP対策にはオンラインストレージの活用が定石とされています。
しかし、メールでURLを送り、別のメールでダウンロード用のパスワードを送信する方法は、パスワード付きZIPファイルを送信後に、解凍パスワードを別のメールで送る手法と大きな違いはありません。
このようなPPAP対策においては、情報漏えいのリスクも考慮し、誰が閲覧やダウンロードできるかについてきちんとコントロールする必要があります。
デジタルアーツが提供するメールセキュリティ「m-FILTER」とファイル転送サービス「f-FILTER」の連携ソリューションは、オンラインストレージを利用し、閲覧・ダウンロードの権限を適切に管理・コントロールできるため、PPAP対策だけでなく、情報漏えい対策の観点でも効果を発揮します。
仮に誤送信が発生した場合でも、権限を剥奪して閲覧やダウンロードを不可とすることができるため、PPAP問題における送信・受信のセキュリティリスクを解決し、安全なメール環境を実現します。
まとめ
PPAPは、セキュリティリスクがあり業務効率化の妨げになるなど、多くの問題を抱えています。マルウェア感染が拡大する中で、情報漏えいなど社会的信頼を損なわないためにも、対策は必須となっています。デジタルアーツではセキュアにファイル送信ができるメール環境をご提供し、PPAP問題を解決することが可能です。ぜひご検討ください。
