fbpx

PPAP禁止令が内閣府で!意味ない対策なの?丁寧に解説します!

blank

PPAPってなに?

電子メールの通信というのは、郵便葉書を使った、メッセージのやりとりにとても似ています。電子メールのメッセージは、葉書の裏に書かれた文章が、まったく隠されずに運ばれているのと、同じように、いくつものコンピュータを経由して運ばれて相手に運ばれていくものです。そこでは、通信の経路上に関わっている人たちが良心を持ちあえて、他人のメッセージの内容に関与するようなことはせず、仲介してくれることによって成り立っています。

たとえば、「太郎」が「花子」に電子メールでメッセージを送る場合、メッセージの先頭に宛名として、花子のアドレスを付けて、送信します。このメッセージが花子に届くまでには、いくつものコンピュータを経由するのが普通です。この途中に経由しているコンピュータの操作者は、簡単に太郎の電子メールのメッセ-ジをみることができてしまうのです。もしこのメッセージにファイルが添付されていると、添付ファイルもみることができてしまいます。

しかも、「太郎」と「花子」の電子メールを知っている「次郎」は、送り元アドレスに「花子」のメールアドレスを記入することによって、自分を「花子」と偽って「太郎」に電子メールを送ることができてしまいます。悪意ある行為として、「次郎」は、メーリングやニュースグループなど、不特定多数の相手の目に触れる場に対して、「花子」と偽って発言することも可能です。盗聴が可能であれば、盗聴したメッセージを変更して(改ざん)「花子」になりすまして、「花子」と「太郎」のコミュニケーションを惑わすことも可能になります。

このような環境にある、電子メールによるコミュニケーションにセキュリティを確保するために、私たちにできる最も確実な方法は、メッセージを暗号化して意図しない他人に読まれることを防ぐこと、メッセージに電子署名を付けて、自分が書いた文章であることを保証することです。

しかし、電子署名をつけたメールを送るという実務は、実はあまり日本では定着していません。

従来から、メッセージを見られないようにするための実務慣行として、ファイルを添付してメールで送付する場合には、パスワード付き圧縮ファイルにして送信し、パスワードは別のメールで送付することが安全性が高いとされてきました。この方法は、「パスワード付き圧縮ファイルのメール」と「パスワードのメールで送る」「暗号化」の「プロトコル」の略としてPPAPと呼ばれています。PPAPはもともとお笑い芸人のピコ太郎氏が考えたヒット曲「ペンパイナッポーアップルペン Pen-pineapple-apple-pen」の略称にかけて作られた造語です。

PPAPの名付け親は、PPAP総研の代表社員である大泰司章(おおたいし あきら)氏です。大泰司氏が、一般財団法人日本情報経済社会推進協会に所属していた頃から使われ始めるようになり、2019年に入って『仕事ごっこ その“あたりまえ”、いまどき必要ですか?』という本にPPAPが取り上げられたことで広く認知されるようになりました。

 

PPAPはなぜ広く使われるようになったのか?

PPAPを使ってファイルを送るという慣習は、日本の大手ITベンダーが昔から使っていたものが広く企業に普及したもので、現在でも多くの企業がPPAPの方法が安全なファイル送信の方法だと勘違いされるようになってしまいました。従来、PPAPを使ってファイルを送ることは、メールの添付ファイルの中身を盗み見されたくない、たとえメール誤送信してしまった場合でも、ファイルの中身は見られないようにしたい、といった理由で広く普及したものです。つまり、PPAPは、添付ファイルのセキュリティを高める方法として広く使われるようになっていったのです。

もともと、「秘密の情報が書いてあるファイルは暗号化して、そのパスワードは別の手段で送りましょう」という情報セキュリティが慣習として広く普及していました。その前提には、ファイルを添付したメールは通信経路上で盗聴されるリスクが少なからずあるという考え方が基本となっています。たとえ盗聴されてしまった場合であっても、ファイルを暗号化していれば、情報漏えいのリスクは低減されるというわけです。この方法は、別々の手段で送られる情報の両方を盗むのは難しいからセキュリティの度合いが高いという考え方に基づいています。それが、いつの間にかパスワードを2通目のメールで送るように慣習化されていきました。そして、この方法を手動でやるのは面倒ということになったことから、添付ファイルを自動で暗号化し、パスワードを自動で送るというソリューション(商品)の販売がITベンダーによって広まりました。このソリューションを使えば、送信者が秘密の情報かどうかを判断する必要はなくなり、全ての添付ファイルを暗号化することができます。これがPPAPです。

そして、PPAP方式がちょうど広まるのと同じ時期に、プライバシーマーク認証(日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める認証制度のこと)などの取得に際して、「メール送信時の個人情報を含む添付ファイルに対するセキュリティ対策」が必要な審査項目に入り、パスワード付zipファイルにした上での送信をセキュリティ対策として認める動きが広がるようになったこともPPAP方式が広まるきっかけとなりました。個人情報を取り扱う事業者への罰則が規定され全面施行されるようになったのは2005年のことです。これを機に、個人情報の取り扱いについての対策が加速することになります。個人情報の漏えいを予防するための対策として、当時の一般財団法人日本情報経済社会推進協会(JIPDEC)の研修資料でも、漏えい時を考慮して個人情報は暗号化することが推奨されていました。さらにこの資料には、パスワードを別手段で送ることも明記されていたのです。ただし、あとで説明するように、のちに、一般財団法人日本情報経済社会推進協会は、PPAP方式を推奨しないという声明を出すに至ります。

このようにして、いつしか添付ファイルをZIP暗号化し、パスワードを別送するという方法は、企業・組織などにおいて広く用いられるセキュリティ方法としての地位を獲得することになりました。

PPAPはセキュリティ対策になるどころかむしろ危険な方法!

しかし、現代においては、PPAPによるファイルの送付は、セキュリティ対策として無意味で無意味なだけではなく、むしろ、組織のセキュリティリスクを高めてしまう悪習となっています。PPAP方式でファイルを送ることは、暗号化ファイルとパスワードを別メールで送信したとしても、メールに添付された暗号化ファイルを通信経路上で窃取可能な攻撃者は、パスワードを記載したメールも窃取可能であると推測されることから、通信経路上での情報窃取に対するセキュリティ対策としての効果については疑問視されるようになりました。

つまり、PPAPによるファイルの送付は、「機密性の高い情報を危険にさらしている事実から目を背けていることにほかならない」のです。

実のところ、従来から誤送信対策とされるパスワード付き ZIP (暗号化 ZIP) は効果が薄いばかりか危ないという指摘はされ続けてきましたが、ようやく重い腰があがりました。

ZIPファイルは、ZIPファイルにしたいデータを選択して、左クリックからボタン1つで簡単に作成することが可能です。しかし、PPAPのように ZIP ファイルにパスワードを付けてファイル送る手法は、日本国内で見られるガラパゴスな習慣で、通常、海外においてはPPAPのような運用の仕方がされていることはありません。

なお、これは、ZIPファイルにするという暗号化方法を使わずに、ファイル共有サービスを使って、そのURLとパスワードを同じ通信経路(メール)で送る場合についてもPPAPと同様のリスクを抱えています。また、暗号化されたファイルに対しては、メールサーバや端末におけるセキュリティ対策ソフト(ウイルス対策ソフト)によって中身のファイルの検知ができないため、セキュリティ対策上デメリットが生じるという点にも留意が必要です。ファイルを安全に送付するには、パスワードをあらかじめ取り決めた上で暗号化する方法のほか、クラウドストレージ等のファイル共有サービス(このサービスへのアクセスに当たって認証を行うものや別経路でパスワード送付を行うもの)を活用する方法などが考えていかなければなりません。

脱PPAPが加速化している!なぜ今なの?理由は?

脱PPAPの動きが近年急速に加速している理由は、平井卓也デジタル改革担当大臣が、暗号化ファイルとパスワードをメールで送るPPAPはセキュリティ対策として無意味と宣言したことが引き金となったからです。平井卓也大臣が脱PPAPを宣言したのは、デジタル改革関連法案準備室が国民からの意見を募集するサイトであるデジタル改革アイデアボックスに寄せられた要望がきっかけでした。デジタル改革アイデアボックスに寄せられた3,300件のアイデアのうち、一番ポイントを集めたアイデアが「暗号化した添付ファイルを送って、その直後にパスワードが来るPPAPをやめる」というものだったのです。2020年11月24日の定例会見では、合わせてパスワードを記載したメールを同一経路で送信することが、セキュリティ上意味をなさないことも指摘されています。

2020年11月17日において、中央省庁においてパスワード付きファイルのメール送信を廃止する方針が発表されて、実際に、11月26日からは内閣府と内閣官房においてPPAPは廃止されています。なお、内閣府情報化推進室の発表では、PPAP廃止以降は、内閣府のストレージサービスを利用してファイルを共有する方式を採用することとなり、外部の事業者などとファイルを共有するときは、内閣府のシステムにアクセスできる1回限りの使い捨てURLとログインパスワードを発行する方式をメインとすると説明されています。ファイルを共有する方法の具体的な方法として、担当者は一例として「Dropbox」(※クラウドストレージサービス)などの名前を挙げましたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としています。

脱PPAPの動きは民間企業にも波及している!

脱PPAPというこの動きは、中央省庁だけではなく、民間企業にも広がりをみせています。たとえば、日立製作所に続いて、富士通やNTTデータ、日本ユニシスなど、日本のIT企業も脱PPAPに向けて動き始めています。NECや日本IBMといった企業はもともとPPAPを利用していなかったものの、多くの大手ITベンダーがPPAPという古い因習からの脱却を目指しています。

もともと、日本のITベンダーは、自らが社内でPPAPを実践するだけではなく、PPAPの手順を自動化するツールを販売していました。このツールは、社員が添付付きのファイルを社外に送信しようとすると、添付ファイルを自動で暗号化し、パスワードも自動で追送するものです。こうしたPPAP自動化ツールについても、ITベンダーは今後販売しない方針を固めつつあります。

たとえば、日立の子会社である日立ソリューションズは、ゲートウェイ型のメール暗号化ツールである秘文 AE Mail Guardをかつては販売していましたが、2017年には販売を終了していて、保守サービスについても2022年6月には終了することが決定しています。NECや日本ユニシス、富士通といったITベンダーも、グループ会社を通じてPPAP自動化ツールを販売していますが、各社ともにPPAP自動化ツールを積極的に販売しない方針を示していて、販売中止も視野に入れて製品部門でサービスの展開を検討している段階にあります。つまり、日本の企業の多くが使っていたPPAP自動化ツールは今後誰も使わないし、使えなくなることがほぼ確実視されているというわけです。

実際、2020年11月18日にメールによるパスワード付きファイルの受信を12月1日から原則廃止することをクラウド会計ソフトを手掛けるFreeeは発表するなど、現在、官民問わず、各企業・組織において脱PPAPの動きが加速しています。

同じく、2020年11月18日には、プライバシーマークの取得を管轄する団体である一般財団法人日本情報経済社会推進協会(JIPDEC)が、誤送信した場合に情報の漏えいを防げないなどとして、PPAPによるメール送信について以下のような公式見解を公表しています。

プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。プライバシーマーク付与事業者におかれましては、個人情報を含むファイルをメールで送受信する場合、送信先や取り扱う情報等を踏まえ、リスク分析を行ったうえで、必要かつ適切な安全管理措置を講じていただきますようお願いいたします。

PPAPはなぜダメなのか?セキュリティ上致命的な3つのポイント

誤送信対策として無意味!

一般に、個人情報が組織外部に漏れるという事象は、メールを誤って送信することによって生じるものです。PPAP方式を使えば、メールの誤送信は1通目のメールの送信したあと、手作業で2通目のパスワード送信する前にメールを誤って送信しているということにに気づくはずであるということが暗黙裡に期待されているわけですが、誤送信に気づくか気づかないかが仕組みとなっているわけではないので、完全にメール作成者の注意力に依存したセキュリティ対策ということになります。つまり、誤送信対策としての利用についてPPAP方式が前提としているのは、仮にファイルを誤送信してしまっても、パスワードが届かなければ情報漏えいは起こらないということです。

しかし、PPAPはそもそも最も情報漏えいのリスクが高い行為であるメールの誤送信というリスクを低減するような手順ではありません。

したがって、PPAPではメールの誤送信は防ぐことはほとんど期待できないということになります。PPAP方式は、極端に言えば情報漏えいを防ぎたい送り手側の勝手な考え方によって成り立っているものです。メールの受信側は別途受け取ったパスワードを入力するという手間が要求されます。時間が経過した後にファイル開封を試みるような場合、パスワードが記載されたメールを受信ボックスから探すという手間も発生します。したがって、PPAP方式は、相手の時間を奪う行為にほかなりません。

通信経路上の盗聴リスクを排除できない!

メールが悪意ある第三者に閲覧されていた場合(通信経路上で盗聴されている場合)、PPAPを使って、ファイルを添付したメールとパスワードを記したメールを分けたとしてもセキュリティを向上させることはできません。これは、いわば金庫の鍵を金庫の上に置いているようなものだからです。通信経路上でメールが盗聴されていると、連続して送られたメールが2通とも読まれてしまう確率が高いことからセキュリティは向上しないというわけです。。さらに、PCが不正アクセスされるケースでは、受信したメールはすべて読まれることになりますから、たとえファイルとパスワードを分けていても意味がありません。

加えて、zipファイルを作成する際に利用されている「ZipCrypto」という暗号方式は、フリーソフトを使って簡単にパスワードを解析されてしまうという欠点があります。また、たとえパスワードがわからない場合であっても、この暗号方式ではファイル名までは暗号化されないことから、ファイルの中身が推測できてしまうという欠点もあります。zipファイルをダブルクリックすると、中身のディレクトリ構造やファイル名は確認することができます。このことは、パスワード付きZIPは、完全な暗号化ではないということを意味しています。

なお、zipファイルの作成には、より強度の高い「AES-256bit」という暗号方式もあるものの、この暗号方式は、Windowsの標準機能では暗号化を解答することができないので、極めて不便で普及が進んでいません。

なお、昨今のメール送受信のシステム環境を考慮すれば、フリーWi-Fiなど信頼性の低いネットワークを使っていない限り、通信経路上で盗聴されるリスクはかなり低くなっています。多くの企業では、社内ネットワークへの接続においてVPN経由で通信を行うことによってセキュリティを確保するなど、セキュリティ面も向上してきています。したがって、わざわざPPAP方式で重要な情報を送信する必要はないのです。

マルウェアの隠れ蓑となる!

PPAPで送られる暗号化ファイルは、「Gmail」や「Yahoo Mail」といったクラウドメールサービスのセキュリティーチェックやネットワーク上のウイルスチェックをとおらずに通過することができます。Zip化されたファイルだと、ウイルス対策もその中身を検査できないため、危険なファイルかどうかを判別できないのです。そのためメールがマルウェアに感染していることを知らないでいると、なりすましメールの添付ファイルを開いてしまい、マルウェアに感染してしまう可能性があります。通常、PCのセキュリティソフトは、メールの添付データをスキャンすることで、ウィルス/マルウェアからの感染を防いでいますが、パスワード付きzipファイルの場合には、セキュリティソフトが中身をスキャンできない場合があって、その場合には、ウイルスに感染したファイルやデータから、ウィルス/マルウェア感染するリスクがあります。

実際、米国国土安全保障省の管轄であるサイバーセキュリティー・インフラストラクチャーセキュリティー庁は、パスワードが設定されたzipファイルなど、セキュリティー対策ソフトでスキャンできないようなメールの添付ファイルなどをブロックするよう呼びかけするなどの対応を行っています。この対応は、Emotet(エモテット)というマルウェアが、zipファイルに紛れ込んで検出をかいひする手法によって広がっていたことによるものです。Emotetは、メールに添付されたマクロ付きwordファイルで感染を広げていくマルウェアです。添付されているWord文書ファイルは、利用者のパソコンへEmotetを感染させるための機能を持った不正なファイルです。このWordファイルをパスワード付きzipファイルにすると、ウイルスチェックが一部機能しなくなります。そして、メールに記載されたパスワードでzipファイルを解凍すると、Wordファイルが生成されることになりますが、そのファイルを開いてコンテンツの有効化をクリックしてしまうと、マクロが動き出してEmotet本体がインターネットからダウンロードされて感染してしまいます。

なお、2021年1月27日には、EUROPOL(欧州刑事警察機構)が欧米8カ国の法執行機関・司法当局の協力により、Emotetの攻撃基盤(ウイルスメールをばらまいたり、感染したマシンを操作するための機器等)をテイクダウンした(停止させた)と発表しています。これによって、Emotetに関する情報の提供や観測が徐々に少なくなり、Emotetによる攻撃や被害が停止あるいは大幅に減少しています。

PPAPが当たり前となっていると、パスワード付きファイルを疑うことなく開いてしまい感染してしまうので、PPAPを辞めることはEmotetへの感染を防ぐうえでも非常に重要な意味を持っています。Emotetに限らず、攻撃メールに騙され、メールの添付ファイルやURLリンクを開き、ウイルスに感染させられてしまう可能性は誰にでもありえます。そして、ウイルスにより、メールの受信者のみならず、所属する企業・組織にとっても重大な被害をもたらす可能性があります。システムやセキュリティソフトでの対策が回避されてしまう(手元に攻撃メールが届いてしまい、検知もされない)場合もあるため、メールの利用者一人ひとりが注意するよう心掛けることが必要です。

クラウドストレージサービスを使おう!PPAPの代替案

古くからファイルを送付する手段として使われてきたPPAPですが、今やそれは時代の要請にそぐわない古い方法となってしまいました。メールでファイルを送付することがセキュリティリスクを上げてしまう行為なのだとしたら、わたしたちはどのようにファイルを送付すれば良いのでしょうか?その有力な代替案として考えられているのが、クラウドストレージサービスです。クラウドストレージサービスを使えば、メールの送信者はファイルをクラウドストレージ上に置いておくだけで良いのです。そして、メールの受信者は、クラウドストレージ上にファイルを取りにいけば良いということになります。Gsuite(GoogleWorkspace)やOneDrive、Boxといったクラウドストレージサービスは、受信者を確実に指定することができますし、ファイル伝送路での暗号化も保証してくれるなど、PPAPよりもセキュリティ面において優れています。仮に受信者を間違って指定してしまったら、気づいた時点でファイルの共有を無効にすれば、それが運良くファイルダウンロード前なら情報の漏洩も防ぐことが可能です。