パスワード付きファイルが話題になっている。ここでのパスワード付きファイルとは、パスワードを付けてZIP形式などで暗号化および圧縮したファイルのこと。パスワード付きファイルそのものには問題はない。そのファイルをメールに添付して送り、パスワードを別のメールで送ることが問題視されている。
デジタル改革担当大臣の平井卓也氏は2020年11月17日、中央省庁においてパスワード付きファイルのメール送信を廃止する方針であることを発表。実際11月26日には内閣府と内閣官房で廃止した。
また、クラウド会計ソフトを手がけるfreeeは11月18日、メールによるパスワード付きファイルの受信を12月1日から原則廃止すると発表した。
一見安全そうなパスワード付きファイルとパスワードのメール送信。実際、多くの組織が実施している。だが多くの専門家が、以前から問題があると指摘している。一体、何が問題なのだろうか。
ヒット曲にちなんで命名
「文書ファイルなどをパスワード付きZIPファイルにしてメールで送り、パスワードを別のメールで送信する暗号化の手順(プロトコル)」は「PPAP」と略される(図1)。
ヒット曲「ペンパイナッポーアッポーペン(Pen-Pineapple-Apple-Pen)」の略称にかけた造語で、具体的には以下の略とされる。
Password付きZIP暗号化ファイルを送ります
Passwordを送ります
Aん号化(暗号化)
Protocol
日本情報経済社会推進協会(JIPDEC)を経て「PPAP総研」を設立した大泰司章氏が命名した。
PPAPの問題点としては以下が挙げられる。
- マルウエア(コンピューターウイルス)攻撃に悪用される
- 受信者の作業負荷を高める
順に説明しよう。
セキュリティーの観点からは、ゲートウエイやメールサーバーのマルウエアチェックを回避される点が挙げられる。暗号化されているために、圧縮ファイルの中にマルウエアが含まれていても検知できない(図2)。
セキュリティー製品によっては、パスワードで暗号化圧縮されたマルウエアを検出できる場合がある。ただしその場合も、マルウエアそのものを復号しているのではなく、暗号化されていない情報から怪しいファイルかどうかを判断しているようだ。
