以前、ファイルをメールで送受信するときに、ZIPで暗号化したファイルをメールで送り、後からメールでパスワードを送信してファイルを送受信するPPAPが社会的に問題となっていました。PPAPは日本人により命名されていて、下記の略になります。
- 「P」Password付きZIP暗号化ファイルを送る
- 「P」Passwordを送る
- 「A」Angoka(暗号化)する
- 「P」Protocol(プロトコル=手順)
PPAPの問題
PPAPには下記の問題があるとされています。
- ネットワーク盗聴に無策
- ファイル送信時のメールとパスワード送信時のメールが両方とも第三者に盗聴された場合は、重要ファイルが第三者に渡ってしまう。
- 誤送信問題
- 暗号化ZIPファイルを送る時の宛先メールアドレスを間違えて、さらにこのメールに「全員に返信」する形でパスワードを送ると、誤って送信した先の第三者が重要情報を閲覧できてしまう。
- マルウェアの存在
- 暗号化ZIPファイルを受取人がメールで受け取った際に、ウイルス対策ソフトが暗号化ファイルの中身をチェックできないので、マルウェアがパソコンに侵入する恐れがある。
- 暗号化強度の問題
- パスワード付きZIPは、ZipCrypto(Standard ZIP 2.0)またはAES-256で暗号化されるが、多くのOSで採用されているのは前者であり暗号化強度が低い。
PPAPに変わるセキュリティ対策
| 対策 | 盗聴対策 | 誤送信対策 | マルウェア対策 | 暗号化の問題 |
|---|---|---|---|---|
| ファイル転送サービスを使う | △ (※1) | △ (※1) | ○ | ○ |
| ファイル共有サービスを使う | △ (※1) | △ (※1) | ○ | ○ |
| CDなどで宅配便で送る | △ (※2) | △ (※3) | × | ○ |
| パスワードを別の方法で送る | ○ | × | × | × |
PPAP対策として、ファイル転送サービスが採用される場合が多いですが、盗聴対策や誤送信対策はできていないサービスもあります。受信側に対してワンタイムダウンロードURLとパスワードを其々メールで送るような仕組みになっているものが多く、両方を盗聴されるとファイルをダウンロードできてしまうサービスがあります。同様に送信先メールアドレスを誤って指定すると、誤った相手にワンタイムダウンロードURLとパスワードが送られてしまうサービスもあります。誤送信が発生しないようにチェックを促すような仕組みが実装されている場合もありますが、よくサービスの内容を確認することをお勧めします。
コメント