IT雑学

“PPAP”の危険性とは?

you-tnb-298

仕事などで、メールを利用してデータを受渡する場面があると思いますが、どうやって受渡しているでしょうか?

パスワード付きのZIPファイルにして、後からパスワードを送っていませんか?あるいは自動でパスワードを送るシステムなどを利用していませんか?

その方法(パスワード付きのZIPファイルをメール添付して、別メールでパスワードを送る方法を俗に”PPAP“といいます)では危ないかもしれませんよ。

PPAPの意味と課題について、解説していきます。

PPAPは何の略?

一般的にPPAPといえば、ド派手な衣装でパンチパーマの人がリズムに合わせて歌って踊っている様子を思い浮かべると思いますが、IT関連の用語としては

    • (P)Password付ZIPファイルを送る
    • (P)Passwordを送る
    • (A)暗号化…ここだけ日本語「あんごうか」
    • (P)プロトコル

の略で、パスワード付きのZIPファイルとパスワードをメール等で送ることを指しています。

ペンとパイナップルとアップルとペンではないですが、その”PPAP”の語感からヒントを得たみたいですよ。

PPAPの効果と課題

かつてはセキュリティ対策として推奨されていたPPAPですが、どういった効果を期待されていたのか、またどういった課題があるのか、を挙げてみます。

期待される効果

ZIPを添付したメールと、パスワードを記載したメールを分けて送信することになりますので、

ファイルの送信先を間違えたけど、パスワード送る前に気づけてよかった~。

ZIP添付のメールが盗聴の被害にあったらしい。パスワードのメールは別だったから盗まれなかったみたいだけど…。

といった形で情報漏洩を防ぐ効果が期待されていると考えられます。

上記の場面も可能性が0でないならば、全くの無意味というわけではないかもしれません。

…が、問題がないわけではありません。

PPAPの課題

このPPAPによるファイル受渡は今でも見かけることがありますが、セキュリティ対策と考えたときに、次のような課題があります。

    • ZIPファイル送信とパスワード送信がシステム化されていることも多く、ほぼ同時に送信されてしまうため、送信先の間違いに気づくタイミングがない
    • ZIPファイルとパスワードを同様の手段で送っているならば、それぞれ同様に盗まれる可能性が高く、パスワード送信を分ける意味がない
    • ZIPファイルのパスワード解析自体、近年のコンピュータであれば総当たりでもそこまでコストがかかる処理ではなく、セキュリティ対策としての効果自体が薄い
    • パスワードのメールを待つ・受け取ったパスワードで解凍作業をする、といった手順になるので、受け取る側の手間が増える
    • パスワード付ZIPファイルを作成するのはOS付属の機能ではできないため、別途専用のシステム(メール送信のシステム化、パスワード付ZIPを作成するアプリケーションなど)を用意する必要があり、効果が薄いものに対するコストが高くなる
    • 上記のようなシステムには無料で有用なものもあるかもしれないが、企業としてのセキュリティ対策をフリーソフトで賄うということは(必ずしもそうとは限らないものの)セキュリティに対する意識の低さを露呈する可能性がある
    • 上記のような状況を受け、ZIPファイルが添付されたメールを受け取らないようにしているメールサーバーも多い
    • ZIPファイルを受け取れるようにファイルチェックを無効したり、チェックは有効でもZIPの中身まではチェックできないことを逆手に取られたりすることで、マルウェアなどの不正ソフトを受け取る可能性も高まってしまう

以上のような具体的な課題のほかにも、PPAPを行っていることでなんとなくセキュリティ対策している気になってしまい、本来のセキュリティに対する意識が希薄になってしまう危険性もあります。

ZIPファイルとパスワードを(別メールとはいえ)ほぼ同時に同じ宛先に送るシステムって、本末転倒ですよね…。

PPAPの代替手段

上記のような課題が多々あるため、現在ではPPAPは推奨されない手順とされています。

となると、どういった方法でデータの受け渡しを行うのが良いでしょうか。

クラウドストレージ

相手と共有できるクラウドストレージがある場合、そこへアップロードを行い、相手側にはストレージにアクセスしてダウンロードを行ってもらいます。

メール自体にはアップロードに関する情報だけを記載すればいいので、受渡するデータのサイズが大きくても、メールサーバーの容量を圧迫することはありません。

クラウドストレージへのアクセス自体がアカウント管理されていることになるので、十分なセキュリティも期待できます。

クラウドストレージとはいっても、Googleドライブを使用している場合は注意が必要です。

Googleドライブもクラウドストレージの一種でファイル共有も可能ではありますが、単純な共有ではアカウント管理による制限は無く、共有URLを知っていれば誰でもアクセスできてしまうので用途を考えて使いましょう。

(URLがランダムな文字列のため、バレにくいだけ)

ダウンロードリンク

共有できるストレージではない場合でも、送る側でクラウドストレージを利用していれば、ダウンロードリンクの作成機能が付いていることも多いですね。

ダウンロードリンクは”クラウドストレージ上の特定ファイルのダウンロード用のURLを作成する機能“で、クラウドストレージに直接アクセスせずに対象のファイルをダウンロードすることができます。

ダウンロード対象は指定のファイルのみであり、不必要なデータへのアクセスも抑制できます。

Googleドライブと同様に、ダウンロードURLが流出してしまうとデータが盗まれる可能性はありますが、期間の指定やダウンロード回数の制限により危険性を抑制することが可能です。

ファイル転送サービス

ストレージサービスを利用していなくても、ファイル共有・転送サービスを使うことでファイルを送ることができます。

一時的にファイルをアップロードし、表示されたリンクを共有することでファイルのダウンロードができるので、上記ダウンロードリンクの簡易版と考えてよいでしょう。

ストレージ使用量抑制のため、期限が過ぎたら自動的にアップロードされたファイルが削除される仕様になっていて、いつまでもサーバー上にファイルが残ることもありません。(サービスによりますが)

広告表示により無料で利用できるサービスもあるので、単発で利用したいときなどはこういった選択肢を検討してもいいかもしれません。

ビジネスチャットツール

近年では、電話・メール以外のビジネス通信手段として、ビジネスチャットツールも普及しています。特にコロナ禍におけるリモートワーク促進の動きもあり、ますます一般化してきました。

ビジネスチャットであれば、双方がそのツールを利用していなければならないという制約はあるものの、特定の相手・グループと直接つながることにもなるため、誤送信の防止にもつながり、メールを介さずにデータを受渡する手段としても有効です。

情報の整理という点ではやや難がありそうですが、即時性が高く、現代のビジネススピードに対してはメリットのほうが大きいかもしれません。

PPAPは廃止の流れに

2020年11月に政府からPPAP廃止の方針が発表され、文部科学省では2022年1月4日から正式に廃止となりました。

こういった動きから一般企業でも脱PPAPの動きが促進されてきており、一部では社内規定でPPAPを禁止とする企業も多くなっています。

個人としても安全性への意識を高める意味もあり、どういった形式でのデータ送受信が適しているのか、きちんと検討して判断していくことが必要になるでしょう。

ABOUT ME
you-tnb-298
you-tnb-298
理系大学卒業後、音楽学校で2年修行。20代はギターとドラム、30歳手前でプログラマーへ。
応用情報処理技術者、ウェブデザイン技能検定3級、色彩検定2級、日商簿記2級。登山は富士山経験あり、マラソンはハーフ1h58m。
記事URLをコピーしました