政府や大手企業が表明する脱PPAP ー その問題点と代替案とは？

機密情報をやりとりする際、皆さんはどのような手法を取っているでしょうか。様々な方法がある中、パスワードをかけたファイルをメールで送る、このような手法をセキュリティ上では『PPAP』と呼び、多くの人が経験していると思います。しかし、デジタル社会がすすむ昨今では、この手法にはセキュリティリスクがあるとされ、対策が余儀なくされています。本ブログ記事では、そんな『PPAP』のリスクやFleekdriveが取り組む対策をご紹介します。

PPAPとは

PPAPとは、パスワード付きzipファイルをメールで送る手段を指し、以下の略称からPPAPと呼ばれています。

• P … パスワード付きZip暗号化ファイルを送ります
• P … パスワードを送ります
• A … 暗号化します
• P … プロトコル（手順）

多くの日本企業や組織で利用されてきましたが、セキュリティ上の疑問符から2020年11月、日本政府がパスワード付きzipファイルの利用を廃止すると方針が発表され、大手ITベンダー各社が脱PPAPを表明するなど廃止する動きが広まっています。

PPAPにおけるセキュリティの問題点

では、PPAPはどのようなセキュリティの問題点や危険性があるのか、以下からご説明します。

宛先ミスによるメール誤送信

2022年1月に東京商工リサーチが発表した『上場企業の個人情報漏えい・紛失事故調査』によると、2021年に上場企業・子会社で漏えいした個人情報は約575万人分に達し、事故件数は137件と前年比33.0％増、最も多い事故件数だった2013年の107件を上回り、最多となっている。なかでも、情報漏えいの原因のうち31.3%が「誤表示・誤送信」と原因1位の「ウイルス感染・不正アクセス」の次に多い結果となり、人為的ミスの防止が困難であることが明確になりました。

個人情報漏えいの事例

• 某金融機関 … メール誤送信で11,941先の顧客情報が業務提携先30社へ流出
  2018年5月18日～2021年4月26日の期間中39回に渡り、業務提携先の企業に発信した電子メールについて誤送信が発生し、利用者11,941先の個人情報や融資情報などが流出。誤送信した顧客情報のみでは各種取引へアクセスできず、不正アクセス等は確認されていないと説明し、対象となる顧客へ個別にお詫びと経緯の説明を行うと発表した。
• 某学校法人 … 『gmail』を『gmai』と入力ミス、135人の入学者情報流出　
  2021年3月17日、24日に新年度授業のクラス分けに必要な情報を記載したリストを事務局職員が教員に対して送付したところ、誤って『＊＊＊@gmail.com』とすべきドメインを『＊＊＊@gmai.com』と入力ミスが発生し流出。誤送信先に当該メールの消去を依頼し、また流出したリスト内の対象者に対し経緯を説明し、お詫び申し上げたところですと発表した。

悪意ある第三者のメール盗聴

PPAPで送ったメールは、同じ通信経路(ネットワーク)で送受信されるため、添付したファイルとパスワードを分けて送ったとしてもセキュリティ向上は見込めません。通信経路上のメールを盗聴されてしまえば、同じ経路を通る2通のメールはすべて読み取られてしまいます。また、パスワードが分からずとも暗号化されたzipファイルのパスワード解析は簡単に出来てしまいます。解析用のフリーソフトも多く、ファイル圧縮・解凍ソフトで有名な「Lhaplus」でもパスワード解析が行えるため、パスワードを別途送信することがセキュリティ強化に繋がることはありません。

マルウェアの感染リスク

マルウェアとは、ウイルスやワーム、トロイの木馬など、ユーザーのデバイスに不利益をもたらす悪意あるプログラムやソフトウェアを総称した言葉で、一般的にはマルウェアと呼ばれるよりウイルスと表現する場合が多いです。前述でも紹介した、東京商工リサーチの『上場企業の個人情報漏えい・紛失事故調査』では、2021年の「ウイルス感染・不正アクセス」は事故件数・社数ともに最多を更新し、漏えいした個人情報約575万人分の内、約8割(78.9％)を占め、増加の一途をたどっています。

■上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分（2021年）
https://www.tsr-net.co.jp/news/analysis/20210117_01.html

株式会社東京商工リサーチ

『Emotet』と『IcedID』の感染拡大・脅威

皆さんは、『Emotet(エモテット)』や『IcedID(アイスドアイディー)』と呼ばれるマルウェアをご存知でしょうか。こちらは、ウイルスへの感染を狙う攻撃メールの一種で、過去にやりとりのある取引先をうたった偽装メールが届き、添付されているファイルやリンクを開くことで感染を広げます。

添付されたファイルはパスワード付きzipファイルの事例が多く、ウイルスチェックをすり抜けやすい上に、メールアドレスの偽装や過去に自身で送ったメール内容の一部が流用されるなど、ぱっと見では気づくことが難しくなっています。また、2022年現在も感染させる手口に変化し続けており、添付されたExcelファイルやPDF閲覧ソフトに偽装したサイト誘導、ショートカットファイルを利用した感染手口など、より高度化が進んでいます。

■「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

独立行政法人情報処理推進機構セキュリティセンター

感染被害の実例

マルウェアの中でも、国内ではとくに『Emotet(エモテット)』による感染事例が爆発的に増え、2021年では毎月約300台～約800台のパソコンが感染しているところ、2022年2月には約20,000台と急拡大しています。

これだけ感染拡大し続けてきた『Emotet(エモテット)』。では、感染することで実際にどのような被害をもたらしてしまったのか事例を見てみましょう。

流出事例

なりすまし事例

上記は、被害を受けたほんの一部をご紹介していますが、2020年以降で100社を超える企業が感染を発表しています。大手・中小企業問わず被害をもたらす『Emotet』ですが、その手口はすべて「なりすましメール」を発端としたものです。これが、『PPAP』が安全ではないという理由のひとつと言われています。

PPAPの代替案とは？

このように様々な感染被害をもたらす原因となっているPPAP。
日本政府を始め、日立製作所や富士通、NTTデータなどの大手ITベンダーが脱PPAPの動きを表明していますが、2022年に入り非IT企業でも脱PPAPに向けた動きが加速しています。

その代替案には、ファイル転送サービスや専用サーバによるデータセキュリティのソリューションなどが挙げられ、なかでもオンラインストレージサービスの活用が有用だと言われています。オンラインストレージであれば、セキュアな環境で大容量ファイル共有が行える他、利用者の証跡から漏えいやデータの改ざん防止、外出先からスマホ・タブレットで手軽なデータ利用と可用性を向上するなど、多くのメリットがあります。

脱PPAPへ対応したFleekdrive活用

企業向けのオンラインストレージであるFleekdriveは、ビジネスでの利用を前提に開発された高度なセキュリティに対応しています。ウイルスチェック機能が搭載されているのでファイルをアップロードした時点で毎回ウイルスチェックを実行し、ウイルス感染の拡散リスクを軽減します。ファイルは暗号化して保管しているため外部攻撃やネットワーク上にあるリスクから企業情報と個人情報を守ります。

また、脱PPAPに対応できる新機能をリリースし、アカウントを持たない方への共有方法「ファイル配信、公開スペース、共有リンク」の3つの機能でパスワードを送信先に送らず、「パスワードメールを自分へ送る」という形で送信元に送ることができるようになりました。
（リリースについての詳しい情報はこちら）

セキュリティ面での危険性とファイル共有にかかる手間をなくすために、PPAPに替わる手段をお探しの方はオンラインストレージの活用をぜひご検討ください。