パスワード付きファイルが話題だ。
ここでのパスワード付きファイルとは、パスワードを付けてZIP形式などで暗号化および圧縮したファイルのこと。パスワード付きファイルそのものには問題はない。そのファイルをメールに添付して送り、パスワードを別のメールで送ることが問題視されている。
平井卓也デジタル改革担当大臣は2020年11月17日、中央省庁においてパスワード付きファイルのメール送信を廃止する方針であることを明らかにした。
また、クラウド会計ソフトなどを手がけるfreeeは11月18日、メールによるパスワード付きファイルの受信を12月1日から原則廃止すると発表した。
一見安全そうなパスワード付きファイルとパスワードのメール送信。実際、多くの組織が実施している。
だが多くの専門家が、以前から問題があると指摘している。何が問題といわれているのか。改めてまとめた。
Emotet感染拡大の一因に
「文書ファイルなどをパスワード付きZIPファイルにしてメールで送り、パスワードを別のメールで送信する暗号化の手順(プロトコル)」は「PPAP」と略される。
ヒット曲「ペンパイナッポーアッポーペン(Pen-Pineapple-Apple-Pen)」の略称にかけた造語で、具体的には以下の略とされる。
Password付きZIP暗号化ファイルを送ります
Passwordを送ります
Aん号化(暗号化)
Protocol
命名したのは、日本情報経済社会推進協会(JIPDEC)を経て「PPAP総研」を設立した大泰司章氏である。
PPAPの問題点としては以下が挙げられる。
- マルウエア(ウイルス)攻撃に悪用される
- 受信者の作業負荷を高める
順に説明しよう。
セキュリティーの観点からは、ゲートウエイやメールサーバーのマルウエアチェックを回避される点が挙げられる。暗号化されているために、圧縮ファイルの中にマルウエアが含まれていても検知できない。
