PPAP

 今、PPAPについて、悩ましい問題が出ている。メールシステムと言うのは通信経路、すなわちネットワーク上ではおおむね暗号化されていない。そのため盗聴を防ぐには暗号化したファイルをメールに添付する必要がある。ほとんどの方はパスワード付きZIPを利用しているかと思われる。パスワード付きZIP自体の暗号化強度は実はそう強い物では無く、本当の意味での機密性を保障することは出来ないのだが、それでも一般の方が解読するには十分な時間がかかり、ある程度の安全は確保されていた。しかし、PPAP問題がTVなどで報道されると、一部でパスワード付きZIPは無意味と勘違いし機密情報をメールの添付ファイルで暗号化せずに送るケースが散見され始めた。

 PPAPで問題になるのは2つあり、まずはメール配送時の安全性、もう一つはダウンロード後のファイル復号化時の安全性である。前者については、パスワードを別送しているが、別経路では無く、同じ経路のメールで送っていることに問題がある。この方法を行うと途中の経路上で盗聴されていた場合、悪意あるユーザは添付ファイルとパスワードの両方を得る事になる。当然暗号化されたパスワード付きZIPを復号化することも出来てしまう。こういった事を回避するには事前に取り決めたパスワードでやり取りを行う、パスワードはチャットワークやMicrosofot Teams、LINEやSMSなどショートメッセージを扱う様なサービスで提供すると言う方法がある。

 2つ目の問題だが、昨今はこちらを問題視するケースが一気に増えた。これはemotetなど悪意あるプログラムの隠蔽工作に利用され実際に被害が広がったことに由来する。暗号化されているパスワード付きZIPはウイルスチェックが出来ないのだ。たとえ組織で経路上にウイルスチェックを行うシステムを高額な費用をかけて導入していたとしても、暗号化されているため素通りしてしまう。また、パスワード付きZIPが届くと、その後ユーザはそのファイルをデスクトップやマイドキュメントなどに保存し、ファイルの復号化を行う。復号化したデータのウイルスチェックなどを行えば、まだ少し安全なのだが、パスワード付きZIPを保存した段階で、既に無条件でそのファイルを信用してしまっており、そのファイルに問題があると疑っておらず、ウイルスチェックを怠りそのまま開くことになる。これがemotetが蔓延した要因の一つである。
※ウイルス定義ファイルなどのアップデートも怠ると弱点になります。

ポイント
 パスワード付きZIPを送る場合は、パスワードは別のシステムで送りましょう。
 パスワード付きZIPを復号化した後は、ウイルスチェックをしましょう。
 出来たらメールでは無く、経路上全てが暗号化されているシステムを使いましょう。

ことば
(PPAP)
 ヒット曲「ペンパイナッポーアッポーペン(Pen-Pineapple-Apple-Pen)」の略称にかけた造語で、具体的には以下の略とのこと
----
Password付きZIP暗号化ファイルを送ります
Passwordを送ります
Aん号化(暗号化)
Protocol
----

出典
勝村 幸博,パスワード付きファイルの何が問題なのか、今こそ「PPAP」との決別を,日経クロステック/日経NETWORK(Web版),2020/11/24,1ページ(ヒット曲「ペンパナッポ~Protocolまで)
https://xtech.nikkei.com/atcl/nxt/column/18/00676/112100065/?P=2

参考
こちらネット相談室メンバーとの雑談より