最新セキュリティマネジメント(第21回)パスワード付き添付ファイルの送受信リスク

リスクマネジメント 働き方改革

公開日:2023.02.24

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 “PPAP問題”をご存じだろうか。PPAPとは添付ファイル付きのメールを送信する際に、添付ファイルを暗号化したZIPファイルで送信し、別のメールで暗号化したファイルを解凍するパスワードを送るという方法だ。メールでファイルを共有する際にセキュリティを担保するために広まったPPAPだが、セキュリティリスクが大きいと指摘され使用を禁止する企業や組織が増えている。なぜだろうか。

パスワードが盗まれマルウエア感染の恐れ

 PPAPはIT用語でよくある英文の頭文字をとって略称にしたものではない。「Password付きZIP暗号化ファイルを送ります」「Passwordを送ります」「Aん号化(暗号化)」「Protocol」のことだ。送信者としては操作が簡単で誤送信防止にもなるため、リスクを減らしてメールでファイルを共有する方法として普及してきた。

 広く使われてきたPPAPがなぜ危険なのか。その原因の一つが一通目のパスワード付きファイルを送ったメールと、二通目のパスワードを通知するメールが同じ経路で送信されているからだ。メールはいくつものサーバーをたどって送信されるため、途中で盗み見られる危険がある。一通目を盗み見られた場合、二通目も盗み見られてしまう。これでは暗号化した意味がない。

 ファイルを自動で暗号化するPPAPは送信側が手軽にできる一方で、二通目のメールのパスワードでファイルを解凍する必要があるため、受信者側には負担が大きい。なのにセキュリティ上の効果がないのであればやる意味がない、と指摘されるようになった。

 さらに大きな問題として浮上したのが、添付ファイルに対してウイルスチェックが効かないという点だ。セキュリティ製品の多くは送られてきたメールをチェックしているが、パスワード付きのZIPファイルの中身はチェックできない。メールが盗み見られてマルウエア付きのファイルにすり替えられても、検知できないことになる。

 このような事態は実際に発生していて、独立行政法人情報処理推進機構(IPA)では2020年9月2日に「パスワード付きのZIPファイルを添付したEmotetの攻撃メール」を確認したと報告している。Emotetはこの連載の第18回でも紹介した、悪意を持って作られた代表的なプログラムである。ファイルを開くとデバイスがマルウエアに感染してしまう。

代替手段はクラウドストレージの活用…

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=高橋 秀典

【TP】

「リスクマネジメント」人気記事ランキング

連載バックナンバー

最新セキュリティマネジメント

無料!おすすめのダウンロード資料

  • 企業の情報セキュリティリスク認知調査2023

    企業の情報セキュリティリスク認知調査2023

    テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。

  • 情報セキュリティ対策意識調査2022

    情報セキュリティ対策意識調査2022

    DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。

  • その対策は効果ナシ!セキュリティの常識を検証する

    その対策は効果ナシ!セキュリティの常識を検証する

    サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。

オンラインセミナー動画

  • 新着記事

配信日時

2024年5月29日(水)①14時00分〜15時00分 ②18時00分~19時00分

セキュリティ関連

セキュリティコンサルタントが解説! いま企業がとるべきサイバー攻撃対策とは

人気

配信期間

配信期間:2023年9月15日(金)~2024年8月30日(金)

セキュリティ関連

【経済産業省サイバーセキュリティ課登壇】 サイバー攻撃に対して中小企業が取るべき対策とは