ごいちです。
・・・今回紹介するのはピコ太郎の『PPAP』ではありません!
巷で横行しているパスワード付き添付ファイル送信の習慣についてです。
筆者はセキュリティ担当ではないもののシステム管理者&WEB管理者として業務を行っている関係で、業者さんとファイルのやり取りを行うことがよくあります。
その際にPPAPをしてくる企業の多いこと多いこと・・・ということで、今回はPPAPがいかに無駄で害悪かについて説明していきたいと思います。
PPAPって何の略?
- Password付きzipファイルを送ります
- Passwordを送ります
- An号化(暗号化)
- Protocol(プロトコル)
上記の頭文字をとってPPAPです。
メールで添付ファイルを送る時に、
- パスワード付きzipファイル
- zip解凍用のパスワードを別送
上記の手順で送付する方法のことを指します。
ワザワザ2回に分けて送るあたり、一見厳重そうに見えますよね。
しかしそれは大きなミステイク。
実際はセキュリティ対策として意味を成さないものとして有害視され始めています。
未だに送ってくる会社多すぎ
そもそも国外ではほぼ使われていない手法ですが、日本国内ではこの手法がかなり横行しており、取引先のシステム会社や制作会社も未だにガンガンこの方法でメールを送ってきます。
ハンコもそうだけど日本の合理性を度外視した謎のガラパゴス仕様ほんとやめてほしい。
emotetというウイルスが広まっています!気を付けて下さい!
という注意喚起のセキュリティ対策情報を送付してくる某大手企業からのメールがパスワード別送メールだった時はさすがに唖然としましたね。
プライバシーマーク対策とか言われていたが・・・
Pマークを取得するための要件として必要と言われることもありました。
が、Pマークを発行しているJIPDECが『PPAPを従来から推奨していない』と明言。
更に加速していく無意味さ。
ソースは以下↓
PPAPに対する批判
- メールを入手できる攻撃者ならば別送されたパスワードも容易に入手できる=無意味
- 受信者はわざわざメールをそれぞれ開きパスワード入力する手間がかかる
- 受信側のマルウェアフィルタをすり抜ける
- そもそもパスワード付きzipが容易に解析される現在意味がない
上記のような理由から有害視されています。
セキュリティ上の効果がない上に受信者に手間をかけさせるとか、害悪以外の何物でもないやんけ!
パスワード付きzip送信が横行することでたまに迷惑メールが添付してくるzipファイルを思わず開きそうになったりする(リテラシーが低い人は開く可能性が高い)のも問題点。
中央省庁でのPPAP廃止は決定されました。
政府もようやく、中央省庁での『PPAP廃止』決めましたよ。(平井さんGJ)
何故横行するのか?
日立がPPAP全面禁止へ
PPAPの代替策
- S/MIME(wikipedia)
- オンラインストレージ
- 電子契約サービス
- グループウェア
- SLack
まとめ
- セキュリティにおけるPPAPはピコ太郎のことではない
- セキュリティ上の効果はないが日本限定で未だに横行している
- パスワード付きzipはマルウェアフィルタをすり抜けるなどデメリットがある
- 代替策はオンラインストレージやグループウェア活用などいくつかある