「Zipファイルが受け取れないので、別の方法で送ってください」
メールでやり取りをしている取引先にファイルを送信しようとしていた時に、このようなことを言われたことはないでしょうか。
添付ファイルをパスワード付きZipファイルにして添付して、パスワードは別メールで送信する。いわゆるPPAPという送付方法は、2020年11月に当時のデジタル改革担当大臣が霞が関においての運用を停止したことで、大きな話題となりました。
この記事では、なぜパスワード付きZipファイルでのファイル送付がNGとされたのか、その理由を解説します。
Zipファイルは複数のデータをまとめて一つにしてデータを圧縮したもので、それによりデータの容量が軽くなり、メール通信などで重たい添付ファイルをやり取りする際に利用されています。
WindowsやMacでは標準の機能として使うことができるので、圧縮ファイルの形式としては一番ポピュラーなものです。またデータ圧縮と同時にパスワードを使ってファイルを暗号化することができます。
そのため重要な情報をメールでやり取りすることが多いビジネスの現場では、当時はメール通信が暗号化されていないという事情もあり添付ファイルだけでも暗号化しようという意識が生まれました。
そしてパスワード付きZipファイルとパスワードをそれぞれ別メールで送付することは、ビジネスマナーとして日本で広がりました。
そして、今この手法は「パスワード付きZipファイルを送付/パスワードを別メールで送付/暗号化/プロトコル」の頭文字からPPAPと呼ばれています。
PPAPがNGと言われるようになったのには大きく二つの要因があります。
簡単な言葉でまとめると「無意味」と「危険」です。
これらをそれぞれ詳しく見ていきましょう。
PPAPで送付する理由は、前述の通り添付ファイルを暗号化するためです。
つまりメールが何者かに見られた場合に添付ファイルの情報を保護するという目的です。何者かというのが、悪意ある盗聴者だとすると果たして、別メールでパスワードを送ることに意味があるでしょうか。
添付ファイルを送ったメールが見られるのならば、当然パスワードの書かれたメールも見ようとするはずです。
1通目が見られたと仮定するなら2通目も見られると考えなくてはいけません。そう考えた時、別メールでパスワードを送ることに意味はあるでしょうか。
例え2通目が見られなかった時でもそれでもZipファイルでは無意味と言わざるを得ない。
なぜならばZip圧縮は標準的な機能として広がっています。当然盗聴者は解凍する手段を持っていて、パスワードの入力が可能です。
2通目が盗聴できなくても入力することができます。Zipファイルには入力制限はありません。失敗したのならばやり直せばいいのです。
何度も繰り返していけばいつかは解凍することができるでしょう。日付や会社名など推測しやすいパスワードにすれば、そのいつかはすぐにやってくることになります。
ランダムにパスワードを生成するツールもありますが、それも時間の問題でしかありません。世間にはパスワードを自動で解析するツールがあるのでそれらの前ではZip暗号化は無意味です。
以上のことからPPAPは添付ファイルの情報を保護するという目的には、無意味だと言えます。
暗号化されたファイルというのはパスワードがなければ中身を確認することができません。
それは確認するのが、たとえコンピューターであっても同じ事です。中身を確認させないために暗号化しているのだから当然と言えば当然です。
では、その暗号化されたファイルの中に悪意のあるマルウェアが仕組まれていたらどうなるでしょうか。
ファイルに仕組まれたマルウェアは暗号化されているので、アンチウイルスソフトやサンドボックスでは検知できず、メールボックスまで届いてしまうのです。
実際にこのパスワード付きZipファイルがセキュリティをすり抜ける仕組みを利用して感染を広げているマルウェアがあります。
それが近年流行しているマルウェアEmotet(エモテット)です。
つまりEmotetはPPAPが広まっていてZipファイルがやり取りされていると状況を利用して感染を広げていると言えます。
そのためPPAPの危険性は、送信者の危険ではなく受信者側の危険と言えます。
この記事の冒頭で「Zipファイルが受け取れないので、別の方法で送ってください」と書きました。
これは脱PPAPを導入した企業にインタビューに伺うと導入のきっかけになった言葉として話されることが多いものです。多くの企業が受信者の声をきっかけに脱PPAPを考えています。
これから脱PPAPを始めるならば、受信者のためになる意味のあるソリューションを選択するべきです。
・別メールでパスワードを送るソリューションは脱PPAPにはあまり有効ではないと言わざるを得ません。
・必要なのは、盗聴された時のため備えではなく盗聴されない仕組みではありませんか。
・ウイルスチェックが出来ないルートで送るソリューションは受信者のためになりますか。
・セキュリティのためと受信者に対して手間を強いることになりませんか。
脱PPAPソリューションを決定する前にはこれらのことをもう一度振り返ってみましょう。
クラウド型メール誤送信防止サービスActive! gate SSのTLS確認機能は、受信者のサーバーがTLS(暗号化通信)に対応しているか確認し、添付ファイルにパスワードかけずに安全に送ることができかを確認する機能です。
この機能を使うことで、盗聴を防ぎ、ウイルスチェックできる状態でメールを配送します。
TLS確認機能の紹介はこちらをご覧ください。
この記事が気に入ったら
いいね!しよう
メールソリューションに関する
ご質問・資料請求などございましたら
お気軽にお問い合わせください。
お電話からのお問い合わせ
03-5623-2530フォームからのお問い合わせ
資料請求ダウンロードお見積り依頼・ご質問・ご相談はこちらから新規のお客様・パートナー様既存のお客様・パートナー様
