セキュリティ 基礎知識

 

PPAP問題とは?危険性と有効な対策を解説!

PPAP問題とは?危険性と有効な対策を解説!

暗号化したzipファイルとパスワードを別メールで送付する方法の「PPAP」は、その脆弱性が問題視されており、多くの企業で脱PPAPへの動きが加速しています。

本記事では、PPAPに潜む危険性と有効な対策法を2つご紹介します。

PPAPとは

社内外へのメールのやり取りを「PPAP」で行っていませんか。PPAPはPassword付きのzipファイルを送付した後に、別メールでPasswordを送付する方法のことを指します。

【PPAPの一連の流れ】
「P」assword付きzip暗号化ファイルを送る
「P」asswordを送る
「A」ん号化(暗号化)する
「P」rotocol(プロトコル=手順)

上記の流れの頭文字をとってPPAPと呼ばれるこの方法は、添付したファイルが流出した場合でもパスワードが漏えいしていなければファイルの中身を知られることは無いといったメリットがあります。そのため、情報漏えいやセキュリティ対策の一環として多くの企業で採用されてきました。

しかし、近年になってPPAPはセキュリティ対策としての効果が疑問視されており、手間もかかるといった理由から、昨今では採用する企業は減少しています。

では、セキュリティ対策として行われてきたPPAPにはどのようなリスクが潜んでいるのでしょうか。

PPAPに潜む3つの危険性

ここではPPAPにおける3つの危険性について具体的に紹介していきます。

メールが盗み見される

PPAPでは、暗号化されたzipファイルを送るメールとパスワードを送るメールの2通に分けて送信しますが、ここで注意したいのが「メールの盗み見」です。2通のメールを送る際には基本的に同じネットワーク上を利用するため、ネットワークが傍受(盗聴)されていた場合、2通のメールを合わせて盗み見されてしまう危険性があります。

ウイルスの侵入経路になってしまう

PPAPで授受するパスワード付きzipファイルがウイルスの侵入経路となってしまう可能性もあります。多くのセキュリティ製品ではパスワード付きのzipファイルのウイルスチェックはできません。そのため、もし添付ファイルがウイルスに感染していた場合、セキュリティの検知をすり抜けてしまい、受信者を脅威にさらしてしまう危険性があります。

ウイルスの中でも「Emotet」と呼ばれるマルウェアは、パスワード付きzipファイルの中身をウイルスチェックできないといった弱点を狙って世界中で被害を拡大させています。

Emotetについては下記記事で詳しく解説していますので、気になった方はこちらも是非ご覧ください。

パスワードが解読される

「1通目のメールを誤送信してしまった」といった際でも、2通目のパスワードは知られていないから大丈夫と考えてしまいがちです。

しかし、zipファイルが相手に渡ってしまった時点で機密情報漏えいの危険性は非常に高くなっています。zipファイルにはパスワードを一定回数誤った場合でもファイルを削除するような機能はありません。そのため、高い計算処理能力を持つコンピューターを用いてパスワードが解読された際には簡単に突破されてしまう可能性があります。

このように、PPAPにはさまざまな問題があり、セキュリティが万全であるとはとても言えません。次章では、PPAPの危険性への対策についてご紹介します。

情報漏えいを防ぐ!PPAPの対策法2選

PPAPに潜むメールの盗み見やパスワードの解読にはどのような対策が必要でしょうか。ここでは情報漏えいを防ぐために有効なPPAPの対策法を2つご紹介します。

メールと添付ファイル・パスワードの送受信経路を分離する

同一のネットワーク上でzipファイルとパスワードを送信してしまうと、ネットワークの盗聴によってファイルの中身が盗み見されてしまう危険性があります。そのため、メールと添付ファイル・パスワードの送受信経路を分離する対策が有効です。具体的には、重要なファイルをメールに添付せず、ファイル・パスワードの送受信はセキュアなクラウド環境を利用する等、複数経路を利用することが有効です。

この対策は一定の効果が見込まれますが、盗聴される可能性を無くすことはできないため不十分です。また、PPAP対策としてメールに添付したパスワードzipファイルの受け取りを拒否している企業も多くなっているため、zipファイルを直接メールに添付するやり取り自体を無くす対策が必要です。

受信者のみが認証できるようにする

パスワード付きのzipファイルでは認証の試行回数に上限が無いため、突破されてしまう危険性があります。このような危険性に対して有効な対策が「受信者のみがアクセスできるようにする」ことです。

クラウドストレージに受信者のみが開ける権限を設定したファイルを置き、メールの受信者にはファイルの代わりにクラウドストレージからダウンロードするためのURLを伝えます。こうすることにより、アクセスを許可された人のみがファイルをダウンロードでき、万が一宛先を間違えた場合でもアクセスを禁止にすることで漏えいも防げます。この方法であれば、zipファイルのパスワード認証の弱点を補うことが可能です。

次章では、手間がかかり危険性も高いPPAPから脱却し、安全なファイル共有を実現するソリューションについてご紹介します。

脱PPAPを実現するためのソリューション

脱PPAPを実現するためのソリューションとして「HENNGE E-Mail Security Edition」と「Box」についてご説明します。

クラウドメール統合セキュリティ「HENNGE E-Mail Security Edition」

「HENNGE E-Mail Security Editionはアウトバウンド(送信)・インバウンド(受信)双方に対応した統合メールセキュリティです。

PPAPの危険性への対策として有効な2つの対策(「ファイルとパスワードを別経路に分離して送付する仕組み」と「受信者のみがダウンロードできる仕組み」)を普段通りメールを送信するだけで自動的に実施可能となる機能や、大容量ファイル転送用のオンラインストレージなどを搭載しております。

法人向けファイル共有サービス 「Box」

法人向けファイル共有サービス「Box」は世界中で10万社以上、日本国内でも1万社以上の企業様に利用されています。

Boxはファイルやフォルダ単位で共有相手一人ひとりに異なる権限を割り振ることが可能なため、特定の相手に特定のファイルだけを共有するといった制御が可能となります。この機能によって、パスワード付きzipファイルのパスワードが解読されてしまうなどのリスクを低減しながら情報共有を行うことが可能です。

脱PPAPを図るためには「HENNGE E-Mail Security Edition」や「Box」といったソリューションを活用することで簡単に実現できます。

上記ソリューションの詳細は以下リンクにて詳しく紹介していますので、脱PPAPを検討されている方は以下リンクも是非ご覧ください。


脱PPAPを実現するセキュリティソリューションをもっと詳しく!

HENNGE One Box


中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ ノウハウ

    【AI vs. AI】サイバー攻撃・セキュリティ対策の最前線

    AI(人工知能)のビジネス活用が一般的になり、その用途はセキュリテ…

  2. セキュリティ 基礎知識

    企業が陥る情報漏えいの原因とその防止方法とは

    情報管理において、常に細心の注意を払う必要があるのが情報漏えいです…

  3. セキュリティ 基礎知識

    ゼロデイ脆弱性とは?近年の被害事例とゼロデイ攻撃の対処法

    サイバー攻撃の中でも特に警戒を強めなければならないもののひとつが、…

  4. セキュリティ トレンド情報

    【企業が震撼したサイバー攻撃事例】 防ぐことはできたのか? 原因&対策まとめ

    昨今、手口が巧妙化・多様化しているサイバー攻撃。対策を充分に行…

  5. セキュリティ ノウハウ

    【マルウェア全防御は不可能】多層防御の弱点と新しいセキュリティ対策を解説

    セキュリティ対策において多層防御は巧妙化するサイバー攻撃への対策と…

  6. セキュリティ 基礎知識

    サイバー攻撃の仕組みと被害とは?セキュリティ対策の方法を事前にチェック

    家庭使用からビジネス利用まで、インターネットの重要性がますます高ま…

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。

APP GUARD