セキュリティ

/

 

PPAP問題とは?危険性と有効な対策を解説!

PPAP問題とは?危険性と有効な対策を解説!

暗号化したzipファイルとパスワードを別メールで送付する方法の「PPAP」は、その脆弱性が問題視されており、多くの企業で脱PPAPへの動きが加速しています。

本記事では、PPAPに潜む危険性と有効な対策法を2つご紹介します。

PPAPとは

社内外へのメールのやり取りを「PPAP」で行っていませんか。PPAPはPassword付きのzipファイルを送付した後に、別メールでPasswordを送付する方法のことを指します。

【PPAPの一連の流れ】
「P」assword付きzip暗号化ファイルを送る
「P」asswordを送る
「A」ん号化(暗号化)する
「P」rotocol(プロトコル=手順)

上記の流れの頭文字をとってPPAPと呼ばれるこの方法は、添付したファイルが流出した場合でもパスワードが漏えいしていなければファイルの中身を知られることは無いといったメリットがあります。そのため、情報漏えいやセキュリティ対策の一環として多くの企業で採用されてきました。

しかし、近年になってPPAPはセキュリティ対策としての効果が疑問視されており、手間もかかるといった理由から、昨今では採用する企業は減少しています。

では、セキュリティ対策として行われてきたPPAPにはどのようなリスクが潜んでいるのでしょうか。

PPAPに潜む3つの危険性

ここではPPAPにおける3つの危険性について具体的に紹介していきます。

メールが盗み見される

PPAPでは、暗号化されたzipファイルを送るメールとパスワードを送るメールの2通に分けて送信しますが、ここで注意したいのが「メールの盗み見」です。2通のメールを送る際には基本的に同じネットワーク上を利用するため、ネットワークが傍受(盗聴)されていた場合、2通のメールを合わせて盗み見されてしまう危険性があります。

ウイルスの侵入経路になってしまう

PPAPで授受するパスワード付きzipファイルがウイルスの侵入経路となってしまう可能性もあります。多くのセキュリティ製品ではパスワード付きのzipファイルのウイルスチェックはできません。そのため、もし添付ファイルがウイルスに感染していた場合、セキュリティの検知をすり抜けてしまい、受信者を脅威にさらしてしまう危険性があります。

ウイルスの中でも「Emotet」と呼ばれるマルウェアは、パスワード付きzipファイルの中身をウイルスチェックできないといった弱点を狙って世界中で被害を拡大させています。

Emotetについては下記記事で詳しく解説していますので、気になった方はこちらも是非ご覧ください。

パスワードが解読される

「1通目のメールを誤送信してしまった」といった際でも、2通目のパスワードは知られていないから大丈夫と考えてしまいがちです。

しかし、zipファイルが相手に渡ってしまった時点で機密情報漏えいの危険性は非常に高くなっています。zipファイルにはパスワードを一定回数誤った場合でもファイルを削除するような機能はありません。そのため、高い計算処理能力を持つコンピューターを用いてパスワードが解読された際には簡単に突破されてしまう可能性があります。

このように、PPAPにはさまざまな問題があり、セキュリティが万全であるとはとても言えません。次章では、PPAPの危険性への対策についてご紹介します。

情報漏えいを防ぐ!PPAPの対策法2選

PPAPに潜むメールの盗み見やパスワードの解読にはどのような対策が必要でしょうか。ここでは情報漏えいを防ぐために有効なPPAPの対策法を2つご紹介します。

メールと添付ファイル・パスワードの送受信経路を分離する

同一のネットワーク上でzipファイルとパスワードを送信してしまうと、ネットワークの盗聴によってファイルの中身が盗み見されてしまう危険性があります。そのため、メールと添付ファイル・パスワードの送受信経路を分離する対策が有効です。具体的には、重要なファイルをメールに添付せず、ファイル・パスワードの送受信はセキュアなクラウド環境を利用する等、複数経路を利用することが有効です。

この対策は一定の効果が見込まれますが、盗聴される可能性を無くすことはできないため不十分です。また、PPAP対策としてメールに添付したパスワードzipファイルの受け取りを拒否している企業も多くなっているため、zipファイルを直接メールに添付するやり取り自体を無くす対策が必要です。

受信者のみが認証できるようにする

パスワード付きのzipファイルでは認証の試行回数に上限が無いため、突破されてしまう危険性があります。このような危険性に対して有効な対策が「受信者のみがアクセスできるようにする」ことです。

クラウドストレージに受信者のみが開ける権限を設定したファイルを置き、メールの受信者にはファイルの代わりにクラウドストレージからダウンロードするためのURLを伝えます。こうすることにより、アクセスを許可された人のみがファイルをダウンロードでき、万が一宛先を間違えた場合でもアクセスを禁止にすることで漏えいも防げます。この方法であれば、zipファイルのパスワード認証の弱点を補うことが可能です。

次章では、手間がかかり危険性も高いPPAPから脱却し、安全なファイル共有を実現するソリューションについてご紹介します。

脱PPAPを実現するためのソリューション

脱PPAPを実現するためのソリューションとして「HENNGE E-Mail Security Edition」と「Box」についてご説明します。

クラウドメール統合セキュリティ「HENNGE E-Mail Security Edition」

「HENNGE E-Mail Security Editionはアウトバウンド(送信)・インバウンド(受信)双方に対応した統合メールセキュリティです。

PPAPの危険性への対策として有効な2つの対策(「ファイルとパスワードを別経路に分離して送付する仕組み」と「受信者のみがダウンロードできる仕組み」)を普段通りメールを送信するだけで自動的に実施可能となる機能や、大容量ファイル転送用のオンラインストレージなどを搭載しております。

法人向けファイル共有サービス 「Box」

法人向けファイル共有サービス「Box」は世界中で10万社以上、日本国内でも1万社以上の企業様に利用されています。

Boxはファイルやフォルダ単位で共有相手一人ひとりに異なる権限を割り振ることが可能なため、特定の相手に特定のファイルだけを共有するといった制御が可能となります。この機能によって、パスワード付きzipファイルのパスワードが解読されてしまうなどのリスクを低減しながら情報共有を行うことが可能です。

脱PPAPを図るためには「HENNGE E-Mail Security Edition」や「Box」といったソリューションを活用することで簡単に実現できます。

上記ソリューションの詳細は以下リンクにて詳しく紹介していますので、脱PPAPを検討されている方は以下リンクも是非ご覧ください。

侵入されても、発症させない。
ゼロトラスト型エンドポイントセキュリティ「AppGuard」

詳しくは下記からご覧いただけます
この記事を読んだ方に
おすすめのお役立ち資料はこちら↓
テレワーク・セキュリティ強化チェックリスト<br>~社員教育のポイント解説付き~

在宅ワークを導入する際に必ず押さえたい! 情報セキュリティの基礎項目をご紹介します。

テレワーク・セキュリティ強化チェックリスト
~社員教育のポイント解説付き~

ダウンロードページへ
中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    ゼロデイ脆弱性とは?近年の被害事例とゼロデイ攻撃の対処法

    サイバー攻撃の中でも特に警戒を強めなければならないもののひとつが、…

  2. セキュリティ

    スパイウェアとは?感染経路や仕組み、被害を防ぐ対策方法を解説

    スパイウェアと呼ばれるプログラムに感染すると、システム情報や閲覧履…

  3. 脱PPAP!パスワード付きZIPファイルの代替案とは?

    セキュリティ

    脱PPAPとは?PPAPの問題点から4つの代替案までご紹介

    PPAPは安全にファイルを共有するためのセキュリティ対策として広く…

  4. ランサムウェアとは?感染経路と被害事例、最新の動向と対策ガイド

    セキュリティ

    ランサムウェアとは?感染経路と被害事例、最新の動向と対策ガイド

    ランサムウェアとは身代金(Ransom)とソフトウェア(Softw…

  5. 多要素認証とは?メリットや二段階認証との違い、運用の注意点を解説

    セキュリティ

    多要素認証とは?メリットや二段階認証との違い、運用の注意点を解説

    昨今では従来のIDとパスワードによる認証から、高いセキュリティ強度…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
APPGURD

APP GUARD