PPAP

PPAPとは

PPAP(ピーピーエーピー)とは、メールで機密情報や個人情報を含むZIPなどで暗号化したファイルを送付し、その後同じ手段(メール)で平文の復号用パスワードを別送することを指します。

PPAPの概要

PPAPの語源は、Eメールに重要情報をファイルとして添付・送付する際に用いられる以下の文言の頭文字を取ったものです。

  • Password付ZIPファイルを送る
  • Passwordを送る
  • Angoka(暗号化)
  • Protocol(プロトコル)

PPAPは「Eメールの窃取や中身の改ざんを防ぐ」、「Eメール誤送信による情報漏洩を防ぐ」といったように、セキュリティリスクを低減する目的で行われています。

現在のEメールソフトは、暗号化機能が標準で実装されているものもありますが、Eメールの送受信で使用されるプロトコル「SMTP」、「POP3」、「IMAP4」などは暗号化機能を持ちません。よって、攻撃者が通信を傍受できれば、中身の確認や改ざんが可能です(中間者攻撃)。また、メールの誤送信があったとしても、一通目に添付したファイルと、二通目の復号用パスワードを同時に併せ持たなければ、添付ファイルの情報漏洩のリスクは下がるはず、という考え方から日本国内では一般的に用いられる手法でした。

通信帯域の狭さやEメールの受信ボックス容量の事情により、1990年代はファイル容量の大きいファイルを、Eメールに添付することは避けられてきました。しかし、徐々に通信環境やEメール環境の進化が見られた2000年代以降、Eメールにファイルを添付して送付することが一般的になりました。それにつれ、重要なファイルを安全に相手に送付するため、このような手順が普及したと考えられています。日本では、PPAPの手順を自動実装するメールセキュリティ製品も提供されています。

PPAPがセキュリティリスクに

本来、セキュリティリスクを回避するために用いられたPPAPですが、その後、セキュリティ対策としての効果が疑問視されるようになりました。主な理由は以下の通りです。

1. 送受信する端末やEメールに使用するアカウントが攻撃者に乗っ取られている場合、Eメールを別送すると、2通とも攻撃者に窃取される恐れがある。

2. 「添付ファイルの送付」と「パスワードの送付」が同一のスレッドでやり取りされているケースが多く、本来、期待しているセキュリティの効果が得られていない。
(パスワードは本来、電話やSMSなど、Eメールとは異なる手法で送付することが望ましい)

3. 標的型攻撃メールやEMOTETなど、サイバー攻撃者が法人組織に不正なメールを送付する際、マルウェアを暗号化・メールに添付することで、セキュリティ対策製品の検出を回避する攻撃が登場した。

サイバーセキュリティは、日進月歩です。新たなサイバー攻撃が登場すると、セキュリティの考え方自体を変革していく必要があります。本来、セキュリティ効果を高める目的で行っていたPPAPが逆に、法人組織にとっての脆弱性に変化してしまったという観点から、3つ目の理由が最も注目すべきと言えます。

こうした背景から、PPAPのセキュリティリスクが再認識・広がり、廃止に向けた議論が各組織や業界で高まりました。

PPAPの代替手段

では、PPAPが法人組織にとって脆弱性と考えられるようになった中、重要な情報を取引先などに送付する場合、どのような手段があるでしょうか。

代表的な代替案は、クラウドストレージの利用です。以下のようなメリットがあります。

  • ダウンロード期限および、ダウンロード回数を設定できる
  • ファイルを間違えた場合、差し替えが可能(ダウンロードされたファイルは原則差し替え不可)

当然、利用にあたっては適切なセキュリティ対策を施して利用することが求められます。格納されているデータの把握やアクセス状況が一元管理できるサービスを利用するのも手でしょう。

また、該当ファイルが不要になった場合にはクラウドストレージから削除する運用ルール(自動設定できるサービスもあります)を設けておくと、さらにセキュリティ効果を向上できます。また、クラウドストレージ以外では、メールソフトと連携した専用のファイル転送サービスを利用することも一つの手段です。利用するサービスには、脆弱性が存在することもありますので、利用しているサービスの脆弱性情報を常時入手するようにしてください。

PPAPをセキュリティリスクとしないために

本稿で説明したように、PPAPはセキュリティリスクの観点から現在は推奨されないものです。「本質的に必要なセキュリティ対策」は、日々のサイバー脅威動向やITインフラ環境の変化によって変わります。また、新たなサイバー攻撃の登場によって、今までのセキュリティの考え方が変化します。サイバーセキュリティに「特効薬」は存在しません。法人組織は、常に最新のサイバー攻撃の傾向と対策にキャッチアップし、自組織のセキュリティ対策の有効性を振り返り、必要があれば常にアップデートしていく必要があります。

PPAPについての関連情報

脆弱性とは?増加する脅威と対策を解説

「脆弱性」とは何でしょうか?脆弱性はサイバーセキュリティのリスク評価をする上での要素であり、サイバー攻撃による被害を受ける可能性を図る指標の一つです。セキュリティ対策を行う上で、脆弱性の管理及び対策を行うことは、組織にとって避けては通れない課題です。

サファイル転送サービスMOVEit File Transferに深刻なSQLインジェクションの脆弱性:影響と対策を解説

ファイル転送サービスMOVEit File Transferにおいて複数のSQLインジェクションの脆弱性が報告されました。本脆弱性による攻撃が既に米国連邦政府機関で確認されていることから、本稿ではその影響と対策について解説します。

PPAPのトピック

関連情報