危険性が高いPPAPとは？危険な理由と代替案を解説

「暗号化されたzipファイルとパスワードを別々のメールで送る」PPAPは、かつては簡単にできるセキュリティ対策と考えられていました。しかし、実際にはPPAPはセキュリティ上高い危険性を持つことから、中央官庁をはじめとした多くの団体・企業が廃止を進めています。

この記事ではPPAPの持つ代表的な危険性を解説するほか、PPAPを廃止した場合の代替となるファイル送信手段を紹介します。PPAPを廃止したい企業のセキュリティ・情報システム担当の方は、ぜひご覧ください。

1.　PPAPとは？

PPAPとは、メールで添付ファイルを送信する際に「1通目のメールで暗号化されたzipファイルを送信し、2通目のメールでパスワードを知らせる」という手順のことです。

PPAPは、上記の言葉の頭文字をとって名付けられました。1通目のメールで送り先を間違えた場合にも、2通目のメール送信の際に間違いに気付くことができれば、第三者にファイルが見られる心配がありません。また、1通目のメールが盗聴された場合でも、2通目が盗聴されていなければ情報漏洩が防げます。

利用によって簡単にセキュリティ対策ができると考える企業が多かったため、ファイルの送受信にPPAPは活用されていました。

2.　PPAPが高い危険性を持つ理由

実際には、PPAPはセキュリティ対策としての効果が薄く、多数の危険性を抱えていることから廃止が進められています。2020年11月26日には、PPAPは中央官庁で完全に廃止されました。

出典：内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」

また、一般財団法人日本情報経済社会推進協会（JIPDEC）も、PPAPを従来から推奨していないという姿勢を示しています。

出典：JIPDEC「メール添付のファイル送信について」

PPAPが持つ代表的な5つの危険性を解説します。

2-1.　セキュリティ対策の効果がなくなる

一般的なセキュリティソフトは、メールにファイルが添付してある場合、ファイルに危険性がないかチェックします。しかし、パスワード付きのzipファイルが添付されていると、セキュリティソフトは中身を確認できず、ファイルチェック機能が作動しません。ファイル内にマルウェアが仕込まれていた場合、セキュリティをすり抜けて感染する恐れがあります。

2-2.　zipファイルの暗号強度が弱い

zipファイルの暗号化方式には、「ZipCrypt」「AES」の2種類があり、ZipCryptはWindows標準のファイル機能で解凍できることから多くの企業が利用しています。しかし、ZipCryptは暗号強度が弱く、ソフトを使用すれば誰にでも解読ができる問題点があります。

パスワードを別メールで送信しても、暗号解読が容易であればそもそもパスワード自体が必要ないため、セキュリティ対策としては万全とは言えません。

2-3.　メールを盗聴されていた場合中身を簡単に盗まれる

PPAPでは、パスワード付きzipファイルとそのパスワードの送付、どちらにもメールを使用します。同じ送信方法を使用しているため、メールを盗聴されていた場合は2通目のメールも侵入者に読まれてしまいます。PPAPのように2通のメールでファイルとパスワードを別々に送ったとしても、盗聴対策としては意味がありません。

加えて、1通目と2通目のどちらかの送信先を間違えていたり、両方の送信先を間違えたりすると、情報漏洩のリスクが高くなります。

「パスワードを電話で伝える」といった、1通目と2通目の通信手段を異なったものにすることは盗聴対策には有効です。しかし、生産性の面から現実的な対策とは言えないでしょう。

2-4.　業務生産性を落とす

PPAPでは、ファイル送付する度に、2通のメールを送る必要があります。送信者は、「ファイルをzipファイルにする」「パスワードを発行する」「メールを2通に分けて送る」の手順が必要です。

ファイルのやり取りが頻繁でない場合や、ファイルの数が少ない場合はそれほど手間ではありませんが、頻繁にファイルのやり取りを行うケースでは、送信者の負担が増えます。

また、受信者もファイルを受信する度に2通のメールを確認する必要があるため、業務生産性が落ちてしまうでしょう。

2-5.　PPAPに偽装したマルウェアが存在する

PPAPは、マルウェアの1つである「Emotet」に悪用される危険性があります。Emotetは、メールに添付された添付ファイルやURLを開くことによって感染するマルウェアです。

業務メールに偽装されて送られてくるため、PPAPを日常的に活用していると、Emotetに気付かない可能性が高まります。

3.　PPAPを廃止して安全にファイルを送る代替案

PPAPはリスクが多く、廃止が求められています。一方で、現在PPAPからの脱却ができておらず、PPAPの代わりにファイルのやり取りを行う方法選びに悩んでいる企業も存在するでしょう。PPAPの代替手段について、代表的なものを解説します。

3-1.　ファイル転送サービスを利用する

ファイル送信サービスは、インターネット上のサーバーにファイルをアップロードし、相手がそのファイルをダウンロードすることで、ファイルの共有が可能となるツールです。法人向けのファイル転送サービスは、高セキュリティで安全に使用でき、一定の期間後にはファイルが自動削除されるため、情報漏洩のリスクを抑えられます。

3-2.　クラウドストレージを利用する

クラウドストレージとは、インターネット上でファイルを保管・共有するサービスです。複数人でデータを共有可能で、オフィスワークだけでなく、テレワークでの活用もできます。

メールと異なり、個別のファイルに細かくアクセス権限を設定できることも多いため、ファイルの誤送信リスクを低くできる点もメリットです。

3-3.　チャットツールを使ってファイルをやり取りする

ビジネスチャットツールの多くには、ファイルの送受信機能が備わっており、簡単にファイルの共有ができます。グループチャットやコミュニティチャットなどの機能を活用すれば、1対1でなく、1対複数でのファイル共有も可能です。

また、チャットツールの多くは通信を暗号化しており、盗聴リスクを抑えられます。

3-4.　メールアイソレーションを導入する

メールアイソレーションサービスとは、添付されたURLリンクや添付ファイルを無害化するセキュリティシステムです。

メールに掲載されているリンク先のURLや添付ファイルがマルウェアであっても、PPAPの場合は感染を未然に防止できません。

メールアイソレーションを導入することで、メールに記載されたURLをクリックしたり、添付ファイルを開いたりしてもマルウェア感染を防止してくれます。セキュリティを意識せず、安全に添付ファイルを開けるため、業務生産性も上がるでしょう。

業務でメールを活用し続けるならば、PPAPの代替策として利便性が高いメールアイソレーションの導入がおすすめです。

まとめ

PPAPとは、メールで添付ファイルを送信する際に、1通目でパスワード付きzipファイルを送り、2通目のメールでそのパスワードを知らせる手順です。セキュリティソフトがうまく機能しない場合がある、暗号強度が弱いと効果が薄い、メール盗聴に効果がないなどの問題が多く、現在では廃止が進められています。

PPAPの代替手段として、メンロ・セキュリティのメールアイソレーション導入をおすすめします。メール経由のマルウェアをすべて排除し、メールの使い勝手を変えずに安全なコンテンツだけをユーザーに渡すため、添付ファイルを安全に開封可能です。