「PPAP」を廃止せよ ピコ太郎じゃなくてメールの話

有料会員記事

栗林史子
【動画】パスワード付きzipファイルはすぐ破られる…。専門家に、一般的なパソコン環境でパスワードを解析してもらった
[PR]

 ある日、電車でスマホをチェックしていると、取材先のとある企業からメールが送られてきた。件名は「プレスリリースのお知らせ」。ふむ、添付されているzipファイルを開けばいいんだな。あれ、パスワードがないと開けないじゃないか。本文を見ると「パスワードはこの後のメールで送付します」。あー、めんどくさいやつだ……。

 この「パスワードつき添付ファイル+パスワード別送」方式は、IT業界で「PPAP」とも呼ばれ、多くの企業や官公庁が情報漏洩(ろうえい)対策として導入してきた。ただ、いまは「セキュリティー対策としては効果が薄い」と指摘されて廃止が進んでいる。しかし、記者自身もまだ多い日は20通以上PPAPメールを受け取ることがある。PPAPがどうして広まったのか、どこに問題があるのかを取材した。

「PPAP」、何が問題?

 まず、「PPAP」の名付け親のITコンサルタント、大泰司(おおたいし)章さんに聞いた。

 PPAPとは、

【P】assword(パスワード)つきzipファイルを送ります

【P】asswordを送ります

【A】n号化 (暗号化)

【P】rotocol(プロトコル、手順)

の頭文字をとったものだ。大泰司さんは「あまりにこの形式のメールを受け取ることが多く、うんざりして当時はやっていたピコ太郎さんにあやかってつけた」と笑う。

 これの何が問題なのか。大泰司さんは「セキュリティー対策としては効果が薄いのに、受け取る側に手間が増えることが問題」と解説する。

 多くの企業では手間を省くため、パスワードを書いたメールを自動的に送信するシステムを利用しているという。大泰司さんは「パスワードを添付ファイルと同じ経路(メール)で送るのであれば、ハッカーが1通目を盗み見できた場合、2通目も盗み見できる可能性が高い」と指摘する。

 誤送信の対策とする企業もあるが、自動送信だと「1通目を間違った宛先に送った場合、自動システムでは2通目も同じ間違った宛先に送ってしまう」ことになり、やはり効果は薄い。

解読はあっという間

 さらに、PPAPにはウイルス対策を無効化してしまう弊害もあるという。メールサーバーには添付ファイルのウイルスを検知するシステムがあることが多いが、zipファイルの中身は検知できない。実際、昨年大流行したコンピューターウイルス「エモテット」はzipファイルを添付したメールを送りつけ、添付ファイルを開かせることで感染を広げていた。PPAPがかえってリスクを高めているのだ。

 何より、メールを受け取る側にとっても不便が大きい。大泰司さんは「zipファイルはスマートフォンでは開くのが大変だし、パソコンでも多くのメールの中からパスワードをいちいち探して入力しなければならない」と指摘する。

 さらに、短いパスワードだと簡単に破られる可能性もある。ITセキュリティー企業のデジタルアーツが今年6月、一般的に利用できるパスワード解読ソフトの性能を試した結果を公表した。英語の小文字6ケタのパスワードは1秒未満、8ケタでも20秒で突破できたという。担当した開発部の上村和博さんは「ウェブサイトにID・パスワードを入力する場合は、複数回間違えたらそれ以上試せないようにロックがかかるようにしてあることが多い。だが、PPAPの場合は何度でも試せてしまう。それが問題だ」と指摘。「どうしてもファイルにパスワードをつける場合は、大文字・小文字・記号を組み合わせたような複雑で長いパスワードが必要」と話す。

記事後半では、PPAPを使わずに情報を守るにはどうしたらいいか、専門家に聞きました。

受信廃止を進める企業も

 大泰司さんらが中心となり…

この記事は有料会員記事です。残り1897文字有料会員になると続きをお読みいただけます。