PPAP問題って知っていますか? 私を含めまず思い浮かぶのは、少し前に一世を風靡したピコ太郎の「PPAP」(ペンパイナッポーアッポーペン)ですが、全く違います。 昨年11月に平井卓也デジタル改革担当相が中央官庁での廃止にする方針を発表して話題となった、メールの添付ファイル取り扱いに関する重大なセキュリティ課題を総じて述べたものです。
PPAPとは
今回のブログにおいてPPAPとは、メールの添付ファイルをパスワード付きZIPファイル(=暗号化)にして送った後、パスワードを別メールで送ることを指します。
P:Password付ZIP暗号化ファイルを送ります。 P:Passwordを送ります。 A:暗号化 P:Protocol
ではなぜPPAPが問題となっているのでしょうか。
いろんなご意見があるかとは思いますが、答えは簡潔で「今のPPAPは危険」の一言に尽きると思います。もともとは「秘密にしたい添付ファイルを暗号化して、パスワードを別の手段で送付する」という手法で、添付ファイルを守る発想でした。別の手段とは、携帯メールとか今だとLINEなどでパスワードを送ることです。ただ、この「別の手段で送付する」のところが、いつの間にか2通目のメール(=同じ手段)で送ることが当たり前になってしまったことに問題があります。 実はよかれと思って行っているPPAPが、Emotetに代表されるマルウェア攻撃に悪用されてしまっているのです。
企業では入口対策(自社とインターネットとの境目にセキュリティ製品を置くこと)を行っていることが多いのですが、受信メールの添付ファイルが暗号化されていることで、本来のスキャン機能が働きません。スキャンしようにもパスワードがかかっていて中身をのぞけないからです。その結果、難なく入り口対策をすり抜けた有害なファイルが社内のPCに届き、2通目で送られてきたパスワードで復号化されてしまうのです。
PPAPの危険性がクローズアップされた今、ファイルの受け渡し方法について別の方法を検討する時期に来ているのかもしれません。
PPAPに代わるファイルの送付方法
いま、一番PPAPに代わるファイルの送付方法として注目されているのが「企業向けクラウドストレージサービス」を使ってファイルを送る方法です。送信者は、ファイルをメールに直接添付して送付するのではなく、クラウドストレージ上にいったんファイルを預けます(アップロード)。その後、預けた先の場所(URL)を受信者にメールで送信して、受信者に取りに行ってもらいます(ダウンロード)。なぜこの方法が有効となるのか。入口対策をされている企業であれば、ダウンロードしている際に入り口対策が働いて、有害なファイルが社内に入ってくることを防ぐことができます。また、信頼できる企業向けクラウドストレージサービスを提供している事業者であれば、彼らがファイルを預かった時点(送信者がアップロードした時)でもファイルのスキャンを行いますので、有害なファイルが社内に入るリスクをかなり減らすことが可能になります。
PPAPの本来の目的は、不正傍受行為などにより第三者に盗まれた添付ファイルを秘匿することに主眼が置かれていました。ただ、最近では暗号化通信が当たり前になってきている事情もあり、あまり効果がなくなっていると感じます。それどころか悪意を持った攻撃者によって悪用される始末となり、いよいよPPAPの存在を見直す時期に来ています。
良かれと思って設備投資してきたPPAPの運用を変更しよう、というのもすぐには難しいかと思います。当社もPPAPを使用しています。ただ、今後メールに添付されているファイルには、今まで以上に気を付けることは意識していただくと良いでしょう。段階的だとは思いますが、クラウドストレージを活用したファイルの授受が主流になっていくことが予想されますので、メールによるファイル送付の時点で「怪しい」と思われてしまうことが当たり前の時代になるかもしれません。