PPAPとは?パスワード付きZIPファイルの危険性と対策を解説!

2023.03.24
PPAPとはのイメージ画像1

「PPAP」をご存知でしょうか?

某お笑い芸人のネタではありません。

 

ある慣例的なメールのやり取りの方法のことを、こう呼びます。

実はPPAPはセキュリティ的に良くない、問題があるとして、政府は2020年11月に今後PPAPを使わないことを発表しました。

 

あなたも知らない間に使ってしまっているかもしれないPPAP。

この記事ではPPAPとは何か、危険性や代替案を解説します。

 

 

PPAPとは?

 

PPAPとはパスワードのかかったZIPファイルをメールで送付する際に、ファイルを添付したメールとは別のメールでパスワードを通知する方法です。

 

諸説ありますが、PPAPは以下の頭文字を取った言葉とすることが有力です。

 

Password:パスワード付きZIPファイル

Password:パスワードを記載したメール

Angou:ファイルの暗号化

Protocol:プロトコル

 

PPAPが定着した背景としては、企業の勘違いが原因と言われています。

2005年の個人情報保護法施行によりプライバシーマーク取得の動きが企業で広がりました。
このときに、認証を取得する目的で総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」に記された「パスワードはメール以外の方法で送ること」を勘違いしたことが原因と言われています。

プライバシーマークの認証を行うJIPDECは「プライバシーマーク制度ではPPAP方式を推奨していない」と発表しています。

 

なお、2020年11月には政府が「PPAP廃止」を発表しています。
さらにその翌週には自動暗号化zipファイルそのものも廃止しています。

セキュリティ対策を行った実感を得やすいこと、操作が楽だったことから広まりましたが、PPAPにはセキュリティ上の危険や問題があることがわかり、使用しないことが主流になってきています。

 

 

PPAPの危険性

PPAPとはのイメージ画像2

それを踏まえて、PPAPにどのような危険があるかを解説します。

 

情報漏えい

メールは人の手で宛先や文面を決めるため、ヒューマンエラーが発生することは少なからずあるもので、ゼロにすることはできません。宛先を間違えて送ってしまえば、いくら暗号化していても情報漏えいになります。

 

マルウェア感染

PPAPはメールを送る側だけでなく、受け取る側にもセキュリティ上の問題があります。相手が信頼のおける相手だとしても、受け取ったファイルがマルウェアに感染させるプログラムであれば、被害が出てしまいます。

 

メールの内容が盗まれる

PPAPはネットワークの盗聴に弱いです。悪用を考える人はネットワークでやり取りする情報をすべて盗聴しています。いくらファイルを暗号化していても、ファイルもパスワードも盗まれてしまえば意味がありません。

 

暗号強度の欠陥

ZIPファイルにはZipCryptoとAES-256の2種類の暗号化方式が使われています。AES-256の方が暗号強度が高く、第三者からの解読は困難と言われています。一方でZipCrypto専用のソフトウェアがあれば、誰でも解読できてしまうほどの強度です。ZIPの圧縮を提供している開発元がそもそも「機密性の高い情報のやりとりには向かない」と発表しています。

 

ウイルスチェックが入らない

ウイルスチェックではメールそのものに仕込まれた悪意のあるプログラムを検知することはできますが、添付ファイルの中身まではチェックできないものが多いです。そのため、受信者側でウイルス感染の恐れがあります。

 

 

■PPAPの代替案

PPAPとはのイメージ画像3

では、どのようなファイルのやり取りが安全なのでしょう。

PPAP以外の方法で、ファイルのやり取りを行う方法を紹介します。

 

メール以外の連絡手段を併用する

PPAPにはネットワークの盗聴に弱いという特徴がありました。つまり、同じネットワークを使用して、ファイルとパスワードのやり取りをすることがセキュリティ上の懸念になります。

解決手段として、ファイルは暗号化してメールで送り、パスワードは別のネットワークからショートメールやSNSなどを利用して通知すると同一ネットワークの盗聴への対策になります。

ただし、ZIPファイルはパスワードを無限に試すことができるため、ZIPファイルを送る行為そのものが良くないという見方もあるため、推奨はできません。

 

クラウドストレージを使用する

おすすめの手法としてはクラウドストレージの活用です。クラウドストレージとはBoxやGoogleドライブなどのデータをアップロードして保管しておけるサービスのことです。クラウドストレージサービスの場合、ZIPファイルそのものを直接やり取りすることはなく、サービス側でフォルダの閲覧を許可制にできるため、閲覧できる人を限定できます。

また、クラウドストレージサービスとの通信を暗号化できることもメリットです。

 

 

まとめ

 

PPAPはパスワードのかかったZIPファイルをメールで送付する際に、ファイルを添付したメールとは別のメールでパスワードを通知する方法でした。普段やっている操作がPPAPだと知った人もいたのではないでしょうか?

セキュリティ性が低く盗聴されやすく、様々な被害に繋がる可能性があるため、政府はすでに廃止しています。

今後はメールでのファイルのやり取りではなく、クラウドストレージの活用が安全なデータ提供方法となることでしょう。


関連記事一覧

starlinkとはのイメージ画像

話題のスターリンク(Starlink)とは?特徴やメリット、プランを紹介

2023.04.13

引用:...

続きを読む

Windows Helloとは?指紋認証や顔認証でセキュリティアップ

2023.04.03

Windowsにログオンするときに、毎回パスワードを入力するのは面倒では...

続きを読む
iphone充電中の画像

MagSafe、Qi、PDとは?急速充電なら一緒じゃないの?

2023.03.22

最新のiPhoneには「MagSafe」、新型のノートパソコンには「PD...

続きを読む

【シニア・超初心者でも簡単】スマホでYouTubeを楽しむ方法

2023.02.28

「スマホに乗り換えたけれど、メールと電話の機能しか使っていない」「スマホの機能を使ってもっと楽しみたい」そ...

続きを読む
ChatGPTのイメージ

今話題のChatGPTとは?使うための始め方や使用例を解説

2023.02.10

昨今SNSやネットニュース、ワイドショーなどで目にする「ChatGPT」...

続きを読む
パソコンファーム