毎日リスクが増えていく パスワード付ZIPファイル
パスワード付のzipファイルが送られてきて、そのすぐあとにパスワードが書かれたメールが来る・・・なんてこと、ありませんか?
最近減ってきてはいるものの、いまだに使われているこの仕組み。
じつは、セキュリティ上NGなんです。
ペンでもパイナップルでもアップルでもないPPAP問題
こういった仕組みのことは、でPPAP問題と呼ばれています(なかば面白半分という面もあると思いますが・・・)。
P:パスワード(Password)付きzipファイルを送ります!
P:パスワード(Password)を別のメールで送ります!
A:暗号(Angou)化されてます!
P:プロトコル(Protocol)(という手順)
※所説あるようですが・・・。
これは、2020年11月に「中央省庁においてPPAP方式によるファイルのやりとりを禁止する」と発表したときに、広く知られるようになりました。
「パスワード付」や「違うメールでパスワードを送る」ということでぱっと見はセキュリティ対策がされているように見えるかもしれませんが、じつはまったく逆で、普通にメール添付するよりセキュリティ上のリスクが上がってしまうのがPPAPなんです。
①同じメールで送ったら一緒に盗まれる
ひとつの問題は、同じ「メール」という手段で送られること。
システムによってはzipファイルを送ったメールアドレスと違うメールアドレスから送られるものもありますが、それでも、宛先は同じ。
もし、1通目のメールが盗まれたとしたらどうでしょう?
2通目が盗まれないということはあるのでしょうか?
盗むほうも、「1通だけ盗む」なんて器用な真似をするよりは、「とりあえず今日のメールを全部盗んじゃえ」とした方が何も考えなくていいのでラクに決まっています。
1通目が盗まれるのであれば2通目も一緒に盗まれているはず。
つまり、同じ「メール」という手段でパスワード付のファイルとパスワードを送るのは、セキュリティ的にまったく意味がない行動だということです。
もし「パスワードを別にしたい」ということであれば、パスワードは別のLINEやSlack、郵送など別の手段で送る必要があります。
②パスワードを付けたファイルは検査できない
そしてもうひとつの大きな問題が、パスワードを付けたファイルはセキュリティソフトが中身を検査できない可能性が高いということ。
ウィルスが入ったデータをそのまま送ってしまう可能性もあります。
でも、パスワードを付けずに送ればセキュリティソフトが中身を検査できるので、「ウイルスが検知されたので削除しました」とウイルス感染を防ぐことができます。
でも、パスワードをつけたzipファイルに入れて送ってしまったら・・・?
セキュリティソフトは中身を検査できないので、当然、相手のパソコンにウイルスをばらまくことになってしまうのです。
PPAP放置はセキュリティリスクが増える
zipファイルの暗号は弱かったり、結局盗まれてしまえば何度もパスワードが試せていずれ開けることができるなど、①②以外もPPAPにはセキュリティリスクがあります。
「システムでこうなっちゃってる」という会社が多いかと思いますが、それであればなおさら、「PPAPってセキュリティリスクがあるから変えないとダメらしいよ」と伝えていかなければ、日に日に危険になってきます。
「うちのメール添付はどうだろう?」と一度確認してみることをおすすめします。
▼第二次世界大戦下で行われた暗号解読▼
▼ミステリー小説でデジタルセキュリティを学ぶ▼
※商品を購入すると、売上の一部が販売プラットフォームより当記事作成者に還元されることがあります。掲載されている情報は執筆時点の情報、または自動で更新されています。
この記事が気に入ったらサポートをしてみませんか?