こんにちは。「クロジカ大容量ファイル管理」建設業ライターの東海林です。
パスワード設定されたZipファイルをメールで安全に共有する手法として官公庁などを中心に利用されてきたPPAP(Passwaord-Password-Angou-Protcolの略)の脆弱性が注目されたのは、2020年10月にデジタル庁が実施した【デジタル改革アイデアボックス】への投稿がきっかけでした。
投稿結果を重く受け止めた当時の内閣府と内閣官房がいち早くPPAPの廃止を決定し、いまでは政府機関や大手企業を中心に利用禁止の波が広がっています。
今回はPPAPの概要や問題点、脱PPAPのための対策や代替案についてご紹介します。
Contents
PPAP問題を知っていますか
内閣府が先駆けて廃止を決める
PPAP問題は2020年10月にデジタル庁が実施したアイデアボックスへの投稿ランキングで人気第1位となり、当時の内閣府及び内閣官房が全省庁に先駆けてPPAPによるファイル送信を廃止したことがきっかけで広く知られるようになりました。
アイデアボックスへの投稿があった翌月となる2020年11月に平井デジタル改革担当相(当時)が記者会見でPPAP廃止を表明し、内閣府の対応が霞が関としては異例のスピードだったことも話題になった出来事でした。これが契機となって各省庁でもPPAP廃止に向けた流れが生まれ、民間企業でもPPAPを排除する動きが広がっています。現在ではZipファイルの添付されたメールそのものを拒絶する企業も増えてきています。
PPAPについて
ここでPPAPの手法について振り返ってみます。
PPAPではまず、データファイルをパスワード設定されたZipファイルに変換します。Zipファイルはパスワードで暗号化されていますから、パスワードを入力しなければ開けません。送信元は添付ファイルのあるメールを送信し、それとは別メールでパスワードを相手に通知します。
パスワードがなければ受け取ったファイルを開封できないことから、本来はセキュリティ対策として官公庁や大手企業を中心にPPAPが採用されていました。
銀行通帳と印鑑を別々に送ることで安全性を確保しようとしたファイル共有方法です。
PPAPによって想定されるリスク
PPAPによるファイル共有は、ファイルに隠されたウイルスによる感染やファイル盗難による情報漏洩のリスクがあります。安全性を高める目的で利用されてきたPPAPですが、落とし穴はどのような姿で潜んでいるのでしょうか。
悪質なウイルスに感染する
ネットリテラシーが少しでも備わっている人ならば、不明な送信元から送られてきたZipファイルをなんの躊躇もなく開封する人はいないでしょう。何が隠されているか分からないからです。
仕事上の取引がある相手から送られてくるZipファイルはどうでしょうか?PPAPによって信頼できる相手先から送られてきたZipファイルであれば即座に開封しても大丈夫でしょうか?
答えは「NO」です。
送信元が信頼できる相手でも、添付されたZipファイルが安全かどうかは分かりません。
メールで送られてきたファイルがウイルスに感染している場合、通常はウイルス対策ソフトが機能して検知されます。しかし、PPAPで送られてくるZipファイルは暗号化されて姿を変えているためにウイルスチェックをすり抜けることがあります。ファイルを開封した受信者の端末はウイルスに感染し、そこからネットワーク全体が危険に晒されます。
ファイルとパスワードの通知手段を別々にして、PPAPファイルやパスワードを第三者に盗まれるリスクを低減させたとしても、Zipファイルで共有するのであればウイルスに感染するリスクは変わりません。
※参考資料:東京都産業労働局「パスワード付きZIPファイルとマルウェア」
実態としては、PPAPではマルウェアの一つである【Emotet】に感染させられた被害が相次ぎました。Emotetは金融機関のネットワークなどを標的として暗躍する悪質で強力なマルウェアですが、2021年1月に攻撃基盤が破壊され脅威が収まりました。しかし、再びEmotetの活動が活発化しているとの情報が寄せられています。
※参考資料:独立行政法人情報処理推進機構【Emotetに関する追記】
情報漏洩に繋がってしまう
PPAPを採用することでZipファイルを経由して一つの端末がマルウェアに感染すると、ネットワーク全体が危険にさらされ企業情報が流出する可能性があります。取引先や顧客の情報までもが漏洩の危険に晒されることは企業にとって死活問題です。
取引先や顧客の重大情報を流出させてしまった場合、損害賠償に発展するリスクを背負うことにも繋がりかねません。
また、PPAPでは同じルートで同じ相手先に送信するため、送信者が送り先を間違ってしまった場合のリスク回避の方法がありません。ヒューマンエラーをリカバーする方法が存在しないことは、リスク管理の観点からは問題です。
PPAPによる被害例
PPAPによるファイル共有を試みたことが原因で発生した被害はどのようなものがあるのでしょうか。内容の異なる2件の被害例を見てみましょう。
被害例1:誤送信による情報流出
国立研究開発法人である量子科学技術研究開発機構が2023年3月1日に公表したメール誤送信です。担当者が暗号化ファイルとパスワードを同じアドレス宛に誤送信してしまった典型的なヒューマンエラーによる事故ですが、本来の送信先と誤送信先が同姓であったことがミスの原因であったと説明されています。
この時の被害は外部組織1人の個人情報流出でした。
PPAPでは間違って送信したあとはリカバーが出来ず、PPAPの致命的な欠陥を露呈した事故となりました。
これと全く同じ事故(誤送信先が同姓)はつい先日も民間企業で発生しています。
被害例2:マルウェアEmotetに感染
室蘭工業大学が2022年6月24日に公表したマルウェア感染による不審メール大量送信事故は、同大学教職員など3人の端末がマルウェアEmotetに感染したことが原因です。
Emotetの動作により3人のパソコンに保存されていたアドレスが流出し、大量の不審メールが送信されました。
不審メールが送信された件数(公表当時)は、それぞれの端末から5300件、1600件、1400件と報告されています。二次感染があったかどうかの情報はありません。
この時期、Emotetに感染して不審メールを大量送信する事故は、同大学の他にも京都大学大学院など多くの機関・企業で確認されています。
PPAP対策はどのくらい浸透している
内閣府が2020年11月にPPAPの廃止を宣言してから2年半が経過しましたが、PPAP対策や脱PPAPはどれくらい進んでいるでしょうか。
PPAPを禁止あるいは禁止予定とする機関・企業の数が増えている一方で、PPAP問題に理解を示さない企業が一定数あります。企業の規模や形態、経営者や担当部署のITリテラシー度数の違いに因るものです。
株式会社サイバーソリューションズが2023年1月に行ったアンケート調査によると、大手企業のおよそ4割がPPAPを利用しておらず、さらに3割ほどの企業は別ツールとの併用でした。残りの約3割の企業は今のところPPAPのみをファイル共有ツールとして利用している実態が明らかになりました。
全体のおよそ6割に当たるPPAPを利用中の企業のうち約8割が代替策を導入または検討中であり、PPAPの利用廃止がかなりのペースで進んでいることが分かりました。PPAPを利用していない4割と合わせると全体の9割近くの企業が脱PPAP派となる計算です。
一方、PPAPを利用している企業のおよそ2割が今のところPPAPの代替策などを検討しておらず、PPAPが抱える危険性などに対する理解が進んでいないことも判明した調査結果となっています。
PPAPのメインユーザーが官公庁や大手企業であったことを考慮すると、いまでも全体の1割強の大手企業がPPAPについて理解不足であることは、インターネット世界における懸念材料であると言えます。
しかし、取引先などによるPPAP廃止への対応などにより社会全体としては脱PPAPが今後も進展すると考えられます。
PPAPの代替手段とは
パスワードを別送信
脱PPAPの対策としてすぐに始められるのは、添付ファイルをメールで送信したのち、メール以外のツールでパスワードを通知する方法です。パスワードはSMSやLINEによる通知、異なるIPアドレスからパスワードを別送信する方法などが考えられますが、送信者の手間がかかるうえ、この方法では盗難リスクは減少しますが根本的な解決にはなりません。
添付ファイルのダウンロードサービス
添付ファイルのダウンロードサービスを利用する方法も人気があります。送信時に自動で添付ファイルが分離されてダウンロードURLに置き換わるため、送信者の手間が省けます。メールの送信・転送のセキュリティを重視するユーザー向きですが、送信後のファイル変更などは出来ません。
添付ファイルをリンク化して共有
メール送信後のファイル変更や消去などまで考慮するのであれば、クラウドストレージの利用が現実的です。送信者がファイルをクラウドへアップロードし、ダウンロード用のURLのみを相手に通知する方法です。ウイルス対策などの安全性確保の点でも効果が期待できます。
アップロードしたファイルの変更・取消しがいつでも可能であるため、情報そのもの(=ファイル)をメール送信後も消滅させる事ができ、ヒューマンエラーをリカバーできます。特に、クラウドの特性を生かすことで大容量ファイルを安全にやり取りしたいユーザーにとっては最適な方法と言えます。
まとめ
かつて安全なファイル共有ツールと言われていたPPAPに意外な落とし穴があることが判明し、これまでPPAPを導入していた官公庁や大手企業が相次いで対策に乗り出している様子が分かりました。
2020年11月の内閣府によるPPAP廃止をきっかけに本格化した脱PPAPの動きですが、全体の流れとしては徐々にPPAPが消滅する方向にあります。企業の規模や事情によりPPAP対策を検討していない企業でも、今後は取引先など周辺企業がPPAPを廃止することで自社でも脱PPAPを進めることが考えられます。
既にPPAPによる受信を拒否している企業もあり、脱PPAPの動きはむしろ加速することも考えられます。
ポストPPAPでは、各社の規模や事業内容に合わせた方法が採用されていますが、大容量のデータを頻繁にやり取りする業種・企業では、セキュリティや利便性から「添付ファイルをリンク化して共有する方法」が最適です。
脱PPAPのために「クロジカ大容量ファイル管理」を
「クロジカ大容量ファイル管理」は、セキュリティ性の高いファイル送信を可能にするクラウドストレージです。また、広範囲において膨大なデータや情報を扱う企業にとって、データ管理の"はじめの一歩" となるサービスです。
「クロジカ大容量ファイル管理」は初期構築費用を無料でスタートすることができます。
さらにマルチデバイス対応なので、タブレットからスマートフォン、PCからスマートフォンなどデバイスをまたいでデータ交換が可能です。また、プロジェクト単位でフォルダ分けして、代表者のみならず従業員の方々など、利用者数に合わせたプラン選択ができます。
簡単に導入でき、安心安全で利便性の高い機能を備えています。
安全なファイル送信やデータ管理でお悩みの方はぜひお気軽にご相談ください。
ライター:東海林
取材記者として約10年、建設会社の経営者及びコンサルタントとして約20年の経験を活かしてライターや企業コンサルとして活動中。幅広い分野への知見を持ち、特に建設業界に関する深い理解や洞察力により実用的な記事執筆を得意とする。