PPAPの何が問題なのか
PPAPの一番の問題点は、ファイルの中身をチェックできないことだ。暗号化されているため、中にマルウエア(コンピューターウイルス)などが含まれていても検知できない。
実際、大きな被害をもたらしているEmotet(エモテット)と呼ばれるマルウエアは、メールに添付した暗号化ファイルを使って感染を拡大している。
PPAPが当たり前になっていると、パスワード付きファイルを疑うことなく開いてしまう。このためPPAPをやめることはマルウエア対策の1つとして有効だ。
なぜPPAPが使われているのか
それではなぜPPAPが使われているのか。誤送信対策や盗聴防止に有効とされてきたからだ。だが一部の専門家はその有効性に疑問があるとして、PPAPという呼び名が使われる前から「文書ファイルなどをパスワード付きZIPファイルにしてメールで送り、パスワードを別のメールで送信する」ことをやめるよう呼びかけていた。
まず誤送信対策について説明しよう。PPAPならファイル添付メールとパスワード記載メールの両方を入手しないとファイルを復元できない。このためどちらか1通を誤送信しても情報は流出しない。
だが、多くの組織で使われているPPAP対応製品は、添付ファイルを自動的に暗号化し、そのパスワードを別のメールで自動送信する。この場合、宛先のメールアドレスを間違えたら、そのメールアドレスに両方のメールが送られることになる。
盗聴防止についても同じように有効性が疑問視される。
PPAPではファイルが暗号化されているため、送信途中でファイルを盗聴されても中身を読まれないので盗聴防止になりそうだ。しかしながら、ファイルを添付したメールを盗聴されるということは、同じ経路を流れるパスワードが記載されたメールも盗聴される可能性が高い。両方のメールを盗聴されたら、暗号化していても意味がない。
日立製作所のPPAP全面禁止の検討を受けて、脱PPAPの動きはますます加速しそうだ。現在PPAPを使用している組織は改めて検討する必要があるだろう。
