廃止進むPPAPの代替案とは　Emotet拡大で企業が添付ファイル禁止

PPAPとは　なんの略？

　PPAPとは、暗号化したzipファイルをメールに添付して送信したあとに、別のメールでパスワードを送るセキュリティ対策のことです。

　PPAPはつぎの頭文字をとって名づけられました。

P：Password パスワード付きzipファイルを送ります
P：Password パスワードを送付
A：Angoka 暗号化
P：Protocol 手順

脱PPAPへ　禁止が進む3つの理由

　長年使われてきたPPAPは官民で禁止しようとする動きが広がっています。その理由はおもに3つあります。

セキュリティが担保できない

　暗号化されたzipファイルをメールで送り、同じ経路から再びメールでパスワードを送ってしまっては、メールが盗み見ようとしている悪意のある相手からすれば、同時に盗み見ることもできてしまうため、対策の効果はあまりありません。

送受信ともに手間がかかる

　送受信ともに複数のメールを使ってやりとりする必要があり、作業効率が落ちます。zipファイルをスマホで開く場合は専用のアプリを入れなくてはならない点も手間が発生します。

マルウェアの感染助長のおそれ

　パスワード付きのzipファイルは、セキュリティソフトによっては、ウイルスチェックができない場合があります。普段からzipファイル付きメールでデータをやりとりしている場合は、同じ手法でウイルスを感染させようとするマルウェアへの警戒感を下げてしまいます。

　こうした手口のマルウェアはEmotet(エモテット)だけでなく、IcedID(アイスド アイディー)、QakBot(Qbot)などもあります。

• 攻撃活動を再開した「Emotet」とは　攻撃の手口や対策を紹介

日立・ソフトバンクの廃止事例

　日立製作所の公式サイトによると、日立グループは、2021年12月13日以降のすべてのメール送受信で、PPAPを廃止し、パスワード付きZIPファイルが添付されたメールは送受信されない仕組みを導入する予定です。

　ソフトバンクも2022年2月15日にPPAPの利用を廃止すると発表しました。

政府の廃止事例

　文部科学省の公式サイトによると、2022年1月4日以降のすべてのメール送受信で、PPAPを廃止し、クラウドストレージサービスBoxに添付ファイルを自動保存し、送信先からダウンロードする仕組みを導入すると発表しました。

　「Emotet(エモテット)などのマルウェアがセキュリティチェックを潜り抜け、感染させるなどの事案を踏まえ、セキュリティ強化策として導入する」と説明しています。

　内閣府と内閣官房も2020年11月、大臣会見で廃止を発表しています。

PPAPの代替案　無料サービスの手段も

　大手企業や官公庁がPPAPを廃止すると、中小企業はその対応に合わせたデータ送信方法が求められることが考えられます。PPAPの代替案としていくつかの手段を紹介します。

　ITエンジニアの藤川大さんは、記事「無料の大容量ファイル送信サービス3選　効率のいい共有方法も紹介」で様々な送信方法を紹介しています。

　このなかからオンラインストレージとファイル転送サービスについて詳しく紹介します。

オンラインストレージを利用する

　オンラインストレージとは、ファイルなどのデータをインターネット上に保管するサービスです。

　クラウドアバント代表の陳錦生さんは記事「オンラインストレージとは？機能やメリット、オススメ製品を一挙公開」で4つのメリットを紹介しています。

1. スモールスタートして大容量まで拡張可能
2. 手軽にデータの可用性を向上できる
3. 社内外のファイル共有が簡単になる
4. 在宅勤務・リモートワークの推進を図れる

　注意点としては、マルウェア「Emotet」の新しい手口として、送られてきたメールから偽のGoogleドライブページに誘導されて、PDFドキュメントをプレビューするように求められ、クリックしてしまうと感染してしまう事例が確認されています。

ファイル転送サービスを利用する

　ファイル転送サービスとは、複数の当事者間で文書・スプレッドシート・プレゼンテーション・画像データなどのデータを送受信するためのサービスです。書類や図面などをデータのままやりとりをするのに役立ちます。

　「TA・カンパニー」代表取締役の松崎太郎さんは、記事「ファイル転送のおすすめサービス4選 用途や費用を比較」で、利用前に確認しておきたい3つのポイントを紹介していますので参考にしてください。

1. サービスの利用目的
2. 自社だけでなく相手先のセキュリティ要件
3. サービスの使い勝手