「PPAP(パスワード付きZIPファイル別送)は危険だから廃止しよう。」
そう上司やクライアントに提案しても、「パスワードをかけているのになぜ危険なんだ?」「昔からのマナーだろう」と返され、説明がかみ合わないまま議論が止まってしまうことがありませんか。直感的には「鍵をかける=安全」と思えますが、サイバーセキュリティの技術的観点で見ると、PPAPは攻撃者にとって都合の良い「抜け道」そのものです。
本記事では、PPAPがウイルスチェックをすり抜ける技術的なメカニズムと、なぜ今の時代に「ファイルを送る」こと自体がリスクなのかを解説します。

PPAPという「儀式」の正体とその仕組み

P-P-A-Pが指す4つの手順

PPAPとは、日本企業で長年行われてきたファイル共有のプロトコル(手順)の略称です。

  • P:Password付きZIP暗号化ファイルを送る
  • P:Password(パスワード)を別メールで送る
  • A:Angouka(暗号化)
  • P:Protocol(プロトコル)

元々は「万が一メールを誤送信しても、別送されるパスワードがなければ中身は見られない」という誤送信対策や、通信経路での盗聴防止を目的として普及しました。しかし現在では、その効果は限定的であり、むしろリスクの方が大きいことが明らかになっています。

プライバシーマークと「マナー化」の背景

PPAPが日本だけでこれほど広まった背景には、個人情報保護の運用現場で「暗号化して送る=安全」という考え方が強く意識されてきたことが一因と指摘されています。かつては「機密情報は暗号化して送る」ことが推奨され、その最も手軽な手段としてZIP暗号化が採用されました。
いつしか手段が目的化し、「ビジネスメールにはZIP添付が必須」というマナーとして定着しましたが、2020年に日本情報経済社会推進協会(JIPDEC)が「PPAPは推奨していない」と公式に見解を示したことで、その正当性は失われています。

[出典: JIPDEC https://www.jipdec.or.jp/topics/news/20201118.html]

なぜ「暗号化」が最大の脆弱性になるのか

ウイルスチェックを「検査拒否」する仕組み

PPAPが危険視される最大の技術的理由は、企業の入り口にある「ウイルスチェック(検疫ゲートウェイ)」をすり抜けてしまう点にあります。通常、メールサーバーのセキュリティシステムは添付ファイルの中身をスキャンし、ウイルスが含まれていないか検査します。しかし、ZIPファイルが暗号化されていると、システムは中身を解凍できず、検査ができません。
その結果、「中身が分からないから通すしかない(または受信者に判断を委ねる)」という挙動になり、その中に隠されたマルウェア(Emotetなど)がそのまま社内ネットワークに侵入してしまうのです。攻撃者はこの「暗号化すれば検疫されない」という仕様を悪用しています。

攻撃者にとっての「黄金のルート」

2019年頃から猛威を振るったマルウェア「Emotet(エモテット)」は、まさにこのPPAPの仕組みを悪用しました。取引先を装ったメールにパスワード付きZIPを添付し、「請求書です。パスワードは別のメールで送ります。」と正規の手順を装うことで、受信者を安心させ、ウイルス感染させます。
「暗号化」は本来データを守るための技術ですが、PPAPにおいては「ウイルスを検疫システムから隠して守る」ために機能してしまっているのが皮肉な現実です。

[出典: IPA 独立行政法人情報処理推進機構 https://www.ipa.go.jp/security/announce/20191202.html]

「送る」から「共有する」へ。Fleekdriveの解決策

ファイルを渡さない「PDF自動変換」

PPAPの代替案として有効なのは、「ファイルを相手に送らない(渡さない)」運用に切り替えることです。法人向けクラウドストレージFleekdriveでは、アップロードしたファイルをPDFとして閲覧・共有できる(PDF変換)など、添付送信に頼らない共有を支援する仕組みがあります。

セキュリティ:https://www.fleekdrive.com/function/security/

ブラウザプレビューで「持ち出させない」

さらにセキュリティを高めるなら、ダウンロード自体を禁止し、ブラウザ上でのプレビュー閲覧のみを許可する設定が有効です。これなら、相手のPC端末にファイルが残らないため、そこから情報漏洩するリスクもありません。万が一誤送信しても、共有リンクを無効化すればその瞬間に閲覧不可能になります。これは、「一度送ったら取り消せない」メール添付にはない強力なメリットです。

慣習依存からの脱却

PPAPは、セキュリティ対策のつもりでも、結果として検知をすり抜ける穴を作りやすい運用です。その仕組みを理解すれば、これ以上続ける合理的理由がないことは明らかです。昔からの決まりだからと理由の確認を後回しにするのではなく、攻撃者の手口に対抗できる新しい仕組みへアップデートする必要があります。

Fleekdriveのようなクラウドストレージを活用し、ファイルを「送る」リスクから解放され、安全でスマートな「共有」へ移行しましょう。それが、自社と取引先を守るためのエンジニアとしての責務といえるでしょう。