セキュリティの
学び場

今回の解説ニュース

パスワード付きZIPファイルをメールの添付ファイルとして送受信することを、組織として廃止することを決めたということです。いわゆるPPAPの問題点や、コストをかけても廃止する意味について説明します。

セキュリティ用語のPPAPとは、「パスワード付きzip暗号化ファイルを送ります」「パスワードを送ります」「暗号化」「プロトコル」の頭文字を取った、メールで添付ファイルを送信する日本固有の習慣です。セキュリティチェックがかけられないことでリスクが増大するという考え方もあります。

いわゆるPPAPは多くの人に利用されていますが、暗号方式としてセキュリティを担保できるものでなく、パスワード付きZIPファイルでセキュリティチェックを回避するマルウェアも現れています。こうした背景のもと、PPAPを廃止することを決定したということです。なお、パスワード付きZIPファイルが添付されたメールが送受信された場合は、受信者と送信者に対し、配送を抑止した旨がメール通知されることになるということです。

セキュリティチェックを掻い潜る？「PPAP」のリスクとは

PPAPのリスクが増大するポイントとして、添付ファイルに対してセキュリティチェックがかけられないことが挙げられます。具体的な内容について説明します。

メールの送受信において、パソコンや中継するメールサーバなどで、添付ファイルがマルウェアではないかセキュリティチェックが行われている場合があります。もし、添付ファイルがパスワード付きZIPファイルであった場合、ZIPファイルを展開するためにはパスワードが必要となります。しかし、中継するメールサーバは展開するためのパスワードを知らないために、圧縮されたファイルの中身がマルウェアであるかどうかのセキュリティチェックをすることはできません。これが、PPAPでセキュリティリスクが増大してしまうとされている問題の正体です。

この問題を逆手にとって、かつて猛威を振るったEmotetなどのマルウェアは、パスワード付きZIPファイルを添付することで、マルウェアが検出されないようにセキュリティチェックを回避していました。まさに、攻撃者が実際に運用の中身を熟知した上での選択であると考えられます。

短期的コストが発生しても意味のあるPPAP廃止への動き

短期的コストが発生しても、PPAPを廃止する意味はあると考えます。理由は、中長期的には社会的コストを下げる可能性があるからです。

長期的な視野でみる社会の様々な動き

例えば、「安いから」と言って体に悪いものばかり食べ続けたらどうなるでしょうか？短期的には食費が節約できてお金がたまるかもしれませんが、長期的には将来、病気になって高額な医療費を支払わなければならなくなってしまうかもしれません。自動車でも、ガソリン車やハイブリッド車は今までのノウハウやコストにおいても優位性が高いとされていますが、それでも電気自動車の開発が進められているのは、希少資源である石油の消費や、大気汚染による二酸化炭素の増加が、将来の社会的コストとして発生するのではないかと考えられているためです。

「今」は難しくとも社会全体で解決すべき課題がある

セキュリティでも、PPAPを廃止してストレージサービスを導入するためには、短期的にはコストがかかります。ただし、PPAPの問題点をマルウェアなどが悪用している現状を考えると、将来のインシデントが増える原因となるため、社会全体として解決すべき課題であると考えられます。このような、社会的課題を解決して持続可能な社会を実現しようという考え方や取り組みは各産業で始まっています。

我々も「お金がなくてセキュリティ対策ができない人」を一人でも多く救うために、無償のセキュリティサービスを含めて、様々な取り組みを継続してきました。そしてこの度、集大成として「誰の手にもセキュリティがいきわたる社会」を実現するための取り組みをスタートさせました。興味のある方は下記のリンクから概要をご覧ください。