全1239文字
PR

 電子メールの送信者が暗号化した圧縮ファイルをメールに添付して送ったあとに、2通目のメールでパスワードを送ること。情報セキュリティー対策として広がったが、実際には効果のほとんどない無意味な慣習である。

 PPAPは「ピーピーエイピー」と読む。日本で広まった造語で、「パスワード付き暗号化ファイル(P)の後にパスワード(P)を送る暗号化(A)プロトコル(P)」という言葉を基に皮肉を込めて名付けられた。

 一部の企業や行政機関はPPAPの利用を規則で義務づけたり、自動化するソフトウエア製品を導入したりしてきた。しかしPPAPは同一経路で暗号化ファイルとパスワードを送る。攻撃者がファイルを入手できればパスワードも容易に取得できてしまう。スマートフォンで受信すると復号できない場合もあり、業務効率の低下要因とも批判されてきた。

平井デジタル改革担当大臣は廃止を明言

 政府はPPAP廃止に向けて動き出す。内閣官房のデジタル改革関連法案準備室は2020年10月に、広く国民の意見やアイデアを募集する「デジタル改革アイデアボックス」を始めた。2020年11月時点で、PPAP廃止は寄せられた約3700件のアイデアのうち最も評価が高い。平井卓也デジタル改革相は同月、会見で省庁でのPPAP廃止を明言した。

 PPAPの命名者で日本情報経済社会推進協会(JIPDEC)の元企画室長である大泰司章PPAP総研代表は「PPAPが恐ろしいのは、いまさら会社の規則を変えられないなどの理由で組織が思考停止に陥り、慣習として残り続けてしまうことだ」と警鐘を鳴らす。

 PPAPの利用が広がった理由はセキュリティー対策の認証制度が影響したのではないかとされる。認証制度は本来パスワードを別の手段、つまりメールとは異なる経路で送るよう求めているが、2通目のメールでパスワードを送ればよいとの誤解が広まったようだ。

 メール送信者が添付ファイルを暗号化する狙いは、悪意を持った第三者がデータを盗み見ることがないようにすることだ。防ぐためにはメールとは別にチャットツールなどの手段でパスワードを伝える必要がある。

 PPAPは暗号化ファイルとパスワードを別々に送信するので、送信先を間違えた場合でも漏洩防止の効果があるとする向きもある。しかしパスワードの発行や送信を自動化する製品を使っていれば、誤った送信先にパスワードも送ってしまう。

 PPAPを使う企業は標的型メール攻撃にも脆弱になりやすい。攻撃者がウイルスチェックを避けるためウイルスを暗号化して送った場合、PPAPに慣れた受信者が疑問を持たずにファイルを開く恐れが高まるためだ。

 今後PPAPの廃止が広がれば、代わりにファイル共有サービスの利用が増えそうだ。送信者はファイルをクラウドストレージに保存して、受信者だけが入手できるように指定した上で、メールなどで保存先のURLやパスワードを送る。受信者が受け取ればファイルを消去する。導入しやすく安全性も高められる。