ピコ太郎も騒然の普段メールでやりがちな「PPAP全面禁止」とは何か
LIMO / 2021年3月1日 8時15分
![ピコ太郎も騒然の普段メールでやりがちな「PPAP全面禁止」とは何か](https://media.image.infoseek.co.jp/isnews/photos/toushin1/toushin1_22223_0-small.jpg)
ピコ太郎も騒然の普段メールでやりがちな「PPAP全面禁止」とは何か
やや前になりますが、2021年1月下旬に「PPAP全面禁止」がTwitterトレンド入りしました。
代表曲が同じく「PPAP(ペンパイナッポーアッポーペン)」であるピコ太郎氏がそれに反応して、PPAP全面禁止を発表したと報じられた日立製作所の「この木なんの木」の替え歌を披露し、こちらも話題になりました。
しかし、全面禁止されたPPAPはピコ太郎氏の楽曲ではなく、全く別の行為です。今回はこの別の行為である「PPAP」について解説をします。
PPAP=パスワード付きzipファイル送付のあとにパスワードを別送すること
PPAPの明確な指摘は、プライバシーマーク制度を運用している一般社団法人日本情報経済社会推進協会(JIPDEC)に当時所属していた大泰司 章(おおたいし あきら)氏の発表資料中にあります。ちなみに、初出はJIPDECがノベルティとして用意したジップロックのパッケージであるようです。
PPAPの正式名称にも言及があり、下記の通りでした。
Passwordつきzip暗号化ファイルを送ります
Passwordを送ります
Aん号化
Protocol
パスワード付きzipファイルをメールで添付し、そのあとにパスワードを同じ宛先に別送する……という行為は、メールを扱う仕事であれば必ず遭遇するものです。
しかし、プライバシーマーク制度を運用している団体に所属している方が、団体名を明示した状態で「PPAP=パスワード付きzipファイルをメールで添付し、そのあとにパスワードを同じ宛先に別送する行為は非推奨」としていることに注目する必要があります。
なぜPPAPが全面禁止されるのか
近年流行しているマルウェアである「Emotet(エモテット)」への感染対策として不適切である、というのが主な理由です。
Emotetは社内・取引先から送られてきたように偽装し、偽装した相手があたかも「送ってきそう」な内容のメールに偽装し、添付ファイルを開けさせることで感染を拡大するのが主な手口です。
この時、パスワード付きzipを添付してくるケースがあるのですが、zipファイルは暗号化されていることから、ウイルス対策ソフトの検疫を通り抜けて届いてしまいます。これによって、感染拡大のリスクが高まってしまうためです。
事実、先ほどのPPAPを提唱した大泰司氏が所属していたJIPDECも、プライバシーマーク取得にはPPAPを推奨していない旨を2020年11月に公表しています。
これに続いて、2020年11月24日の平井内閣府特命担当大臣の記者会見にて、内閣府・内閣官房で11月26日からPPAPを全面禁止することが発表され、PPAP全面禁止の流れは拡大しています。
PPAPに代わる手段はあるか
先述の大泰司氏の発表資料によると、PPAPのメリット・デメリットは下記のとおりです。
〇 送信側にとっては、手軽。
〇 2通目を自動で送らなければ、誤送信防止にはなる。
× 受信側のマルウェアフィルタをすり抜ける。
× 受信側は、パスワードを探して入力して開く。 効率が悪い。
× そもそも、2通目にパスワードを送るのであれば、 秘匿性なし。
つまり、PPAPは「送信者側」にメリットがあるからこそ継続されているとも言えます。
したがって、頭ごなしの一律禁止は有効ではありません。根本的な対応策としては、送信者側が楽に対応でき、セキュリティを担保できる代替案が必要になります。
具体的には、オンラインストレージ(Google Driveなど)・電子契約サービス・グループウェア・コラボレーションツール(Slackなど)を利用する……あたりは比較的扱いやすい代替案です。
特に、オンラインストレージを利用する場合、流出が発覚した段階で公開範囲を制限したり、リンクを無効にしたりすれば機密が守られますし、パスワードを別送する必要もありません。
ただ、この代替案も「マルウェア感染のリスクが下げられる」だけであって、情報漏洩に対する対策としては不完全です。どのような方法であっても、人為的なミスで機密情報を流出させてしまう可能性は防ぎきれないからです。
万能なセキュリティ対策はありません。最終的に企業の機密を守るのは、各企業の運用と、企業に所属するスタッフの意識付けなのかもしれません。
参考資料
第52回ISP&クラウド事業者の集いin旭川「くたばれPPAP! ~メールにファイルを添付する習慣を 変えるところから始める働き方改革~」 2019年9月13日(https://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf)
独立行政法人情報処理推進機構セキュリティセンター 「『Emotet』と呼ばれるウイルスへの感染を狙うメールについて」(https://www.ipa.go.jp/security/announce/20191202.html)
一般社団法人日本情報経済社会推進協会(JIPDEC)「メール添付のファイル送信について」(https://privacymark.jp/news/system/2020/1118.html)
内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」(https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html)
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 LockBit3の衰退によって、活発なランサムウェアグループ「RansomHub」が首位に
PR TIMES / 2024年7月19日 11時10分
-
クオリティア、レバレッジが個人情報保護に「Active!gate SS」を導入
週刊BCN+ / 2024年7月10日 15時24分
-
【ウェビナー】「脱PPAPの真実、安全なメールコミュニケーションとは?」を2024年7月23日(火)にオンライン開催
PR TIMES / 2024年7月10日 12時45分
-
サイコパスコンサルティング、楽天シンフォニーのサービスを活用したPPAP脱却ソリューションの提供を開始
PR TIMES / 2024年7月1日 19時45分
-
【7月オンラインセミナー】2024年上半期に発生した情報漏えいインシデントの振り返りと求められるセキュリティ対策や、新しいOutlookに対応するメール誤送信対策・PPAP対策をご紹介
Digital PR Platform / 2024年6月25日 10時0分
ランキング
-
1コメが品薄、価格が高騰 米穀店や飲食店直撃「ここまでとは」
産経ニュース / 2024年7月21日 17時41分
-
2ウィンドウズ障害、便乗したフィッシング詐欺のリスク高まる…復旧名目に偽メール・偽ホームページ
読売新聞 / 2024年7月22日 0時0分
-
3システム障害、世界で余波続く=欠航、1400便超
時事通信 / 2024年7月21日 22時45分
-
4高速SA「全面閉鎖します」15時までに全車出よ 花火大会に向け超警戒
乗りものニュース / 2024年7月21日 17時12分
-
5タワマン住民「ゴネましたが」…古くなったのに「家賃が高くなる」裏事情
THE GOLD ONLINE(ゴールドオンライン) / 2024年7月19日 18時30分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)