23/02/06 16:26:33.56 CQEUx9V/.net
セキュリティ・ホットトピックス
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
Innovative Tech
2023年02月06日 08時00分 公開
[山下裕毅,ITmedia]
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2
東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。
パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。
取引先や顧客など社外の相手とファイルの受け渡しを行う際、情報漏えい対策としてPPAPが国内の企業や公共団体を中心に広く利用されている。PPAPは、「P:Passwordつきzip暗号化ファイルを送ります」「P:Passwordを送ります」「A:Aん号化(暗号化)」「P:Protocol」の略である。
ファイルを間違えて違う相手に送信したり、ファイルを何らかの方法で奪われたりしても、別メールで送るパスワードがないと開けないという原理で漏えいを防ぐという理屈である。しかし、パスワードが書かれたメールもファイルを送る方法や経路が同じなため、セキュリティ性が低いというのが昨今の考えである。
その上、ファイルが暗号化されているため、近年ではマルウェア「Emotet」の拡散に使われるなど、情報漏えい防止に使用されているPPAPが、反対にマルウェアを拡散している事態に陥っている。
そのため、デジタル改革担当相は2020年11月の定例会見で中央省庁の職員が文書などのデータをメールで送信する際に使うPPAPを廃止する方針であると発表、次いで内閣府と内閣官房も廃止を発表した。これを皮切りに、さまざまな官公庁や企業などがPPAP廃止を発表した。
このように廃止する企業が出てきたが、セキュリティ性が低く(無効性)マルウェア拡散リスク(有害性)を抱えているにもかかわらず、まだまだ使われているのが現状である。
URLリンク(www.itmedia.co.jp)
続き