「脱PPAPサービス」は不要？問題の本質とファイルを安全に送信する本当の方法

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

ファイルをZIPで暗号化し、パスワードを別メールで送るのが「PPAP」と呼ばれる手法だ。数年前、「脱PPAP」の動きが広がった結果、いまでは別の仕組みでファイルを送信している企業が多いだろう。しかし、それは本当にPPAPの課題を解決しているといえるのだろうか。もし、その仕組みを使い続けたら、近い将来、困ったことが起きるとしたら……。メールのセキュリティを巡る最新動向を解説する。

「脱PPAPサービス」はなぜ不要？

（Photo/Shutterstock.com）

実は未解決、メールの「PPAP問題」

　サイバー攻撃の複雑化・巧妙化が止まらない。特にマルウェアの侵入経路となるメールによる攻撃が深刻だ。従来は、不特定多数のユーザーに大量のメールを送りつけるバラマキ型が主流だったが、現在は特定のターゲットを狙った標的型のメール攻撃が増えている。文面に不自然なところがないため、添付ファイルを開いたり、URLをクリックしたりしてマルウェアに感染し、そこから企業内ネットワークに侵入されるケースが相次いでいるのだ。

　その際は、暗号化した添付ファイルを送りつけるケースも目立つ。暗号化することで、アンチウイルスやサンドボックスなどのマルウェアチェックをすり抜けるのが狙いだ。

　ここで注目したいのが、メールのPPAP（注1）問題である。PPAPとは、暗号化されたZIPファイルをメールに添付し、そのパスワードを別メールで送る方法のことだ。かつてはメールでファイルを送信する一般的な方法だったが、2020年11月、内閣府が使用禁止を発表した結果、民間でも脱PPAPの動きが一気に広まったという経緯がある。

注1：パスワード（P）付きのZIPファイルを送信、パスワード（P）を別メールで送信、暗号化（A）、プロトコル（P）をつなげて「PPAP」と呼ばれる。

　そこで、多くの企業が採用したのが、オンラインストレージでファイルを送る、もしくはメールの添付ファイルを自動的に分離・保存して、ファイルへのURLだけが記述されたメールを送る仕組みだった。

　しかし、その結果、メールによる攻撃が減り、被害がなくなったかというと、そうはなっていない。こうした現状に対し、オンラインストレージや添付ファイル分離は「PPAP」の問題を本質的に解決していないのではないか、という疑問が生じている。また、現実問題として、自動分離された添付ファイルへのURLが記載されたメールが受信拒否されるケースも、徐々に増えつつある。

　メールの世界で、いま何が起きているのだろうか。

この記事の続き＞＞