ICTサプライヤーのためのビジネスチャンス発見マガジン

PPAP

PPAP(パスワード付きファイル送信プロセス)とは、パスワードで保護されたZIPファイルをメールに添付して送信し、別メールでロック解除のパスワードを送る手法。セキュアなデータ送信方法として長年利用されてきた。近年、PPAPの脆弱性が指摘され、セキュリティリスクを高める可能性があるとされ、「脱PPAP」が推奨されている。

PPAPでは、暗号化されたZIPファイルとパスワードは、同じ通信経路で送信される。そのため、悪意のある第三者がパスワードを解読し、メールを閲覧される可能性がある。セキュリティソフトを導入していても、ZIPファイルに含まれるウイルスの検知ができない場合が多い。この仕組みを利用して、パスワード付きZIPファイルを添付し、ターゲットに解凍させてマルウェアに感染させる事例も報告されている。PPAPだけでは、十分な安全性が担保されないといえる。

さらに、パスワードを発行する送信者、ファイルを解凍する受信者の双方に手間がかかるという利便性の問題もある。端末や環境によってファイルが文字化けする場合もあり、その対策も必要となる。こうした経緯から、最近では企業や組織でもPPAP方式を廃止する動きが進んでいる。内閣府や内閣官房では、2020年11月にPPAPを廃止した。

PPAPを廃止した後、より安全で効率的なファイル送信の方法が求められる。代替として、ファイルとパスワードを別の通信経路で送付する方法がある。連絡経路を分けるとリスク分散はできるが、ファイル自体は送信されるため、完全な対策とはいえない。現在、クラウドストレージにファイルをアップロードし、共有リンクを相手に送る方法が有効とされている。また、Webブラウザ上でファイルを暗号化して送信するオンラインストレージサービスもある。
(青木逸美)

関連語

クラウドストレージ セキュア セキュリティポリシー マルウェア 標的型メール攻撃 CAASM CSIRT MDR NGAV SOC UTM
クイックビュー

この記事を読む

記事情報を取得できませんでした

資料ダウンロード

資料をダウンロードするには
ログインが必要です。

ログイン