「当社における暗号化圧縮ファイルの利用廃止について」――。2022年に大企業から中小企業まで、様々な業種の企業がWebサイトへ掲載した宣言だ。
これは暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」の廃止を対外的に公表するためのものだ。PPAPは利便性を阻害し、かつセキュリティーリスクを高めるファイル共有手法である。2020年11月に平井卓也デジタル改革担当相(当時)が内閣府と内閣官房でPPAPを廃止すると発表し、企業も追随した。
情報通信業が多数も、幅広い業種で脱PPAP
2022年は企業の「脱PPAP」の動きが特に目立った。従業員数が単体もしくはグループで1万人を超えるカシオ計算機や三菱重工業、双日、JR九州、一般消費者に身近な企業である日清食品ホールディングスや小学館といった企業が続々と脱PPAPにかじを切った。
2022年にWebサイトで脱PPAPを「宣言」した企業のうち、日経クロステックが確認できた49社の業種を見ると、半数以上の27社が情報通信業。次いで多いのが製造業だ。12社が宣言を出している。電子機器や食品、製薬など幅広い。カシオ計算機は2022年3月2日に脱PPAPを決めてから、わずか2日で実行に移している。
関連記事 カシオがグループ1万人の「即日」脱PPAPに成功、布石は3年前にあり宣言を出した時期に注目すると、2022年2月中旬以降一気に増えている。これはマルウエアのEmotetの被害拡大が影響しているとみられる。
Emotetの主な感染経路はメールである。メールの添付ファイルに不正なマクロを埋め込んだり、本文に悪意のあるWebサイトへ誘導するURLを貼り付けたりすることで感染させる。通常、添付ファイルに不審な点があれば多くの場合UTM(Unified Threat Management)などのセキュリティーの仕組みがスキャンし、警告を発する。だが添付ファイルを暗号化していた場合にはスキャンが難しくなり、侵入を容易に許してしまう。PPAPがEmotetへの感染を助長するわけだ。そのため脱PPAPはEmotet対策になるといえる。
