PPAPは禁止?パスワード別送ZIP問題の解決策とは

PPAPは禁止?パスワード別送ZIP問題の解決策とは

2016年の9月ごろに以下の記事を書かせていただきました。
『その秘密のファイル守れてないですよ。 暗号化して安心してしまう事実【LE通信67号】』
https://www.life-escort.co.jp/contents/?p=7727

当時、大事な情報はZIPを暗号化しメールに添付。送信後、別メールにてパスワードを伝える行為が日常的に使われていました。そして、残念なことに今も使われています。

今回は、『その行為(PPAP)は禁止ですよ!!』と皆さんにお伝えしたいと思います。

そもそも、「PPAP」とは?

PPAPとは、

Password付きZipファイルを送る」

Passwordを送る」

An号化(暗号化)」

Protocol(手順)」

の頭文字を取ったもので、その当時流行ったあの曲名にかけて 『PPAP方式』と呼称されています。

そもそもこの方式が流行った理由は、メール自体の暗号化が浸透していなかった時代に少しでも安全に送信するために、と考えられた手法が、安全に送信するための正しい手段だと認識されてしまったことが始まりだと言われています。

さらに、ISMS認証(その企業が情報セキュリティマネジメントにおいて基準に達していることの認証)取得時の審査にて、『PPAPを採用していると通りやすい!』という誤認識が広まったためとも言われています。

(当然 上記審査にてPPAPは推奨されていません。)
一般財団法人 日本情報経済社会推進協会の以下ページより
https://www.jipdec.or.jp/library/report/20201120_03.html

PPAPが問題視されている理由

さまざまな観点から見て問題があります。

1.メールが盗聴されていた場合、無意味。(暗号化ファイルもパスワードも取得されてしまう)
2.メールを誤送信した場合に、添付ファイルを削除する方法がない
3.ウィルス対策ソフトが中身をチェックすることができない。
→ ファイルの解凍時にチェックされることになり、受け取り側だけでの対応となってします。
4.ZIPの暗号化で使われている『ZipCrypto』という仕様がセキュアではない。
実は、ZIPファイルを暗号化は2つほど存在します。

[ Zipcrypto(ZIP 2.0)形式 ]
鍵長が最大96ビット:暗号化の要素が少なくなり、解析されやすく、セキュリティ低い
みんな使える:標準搭載
パスワード解析のリトライが早い:英小文字だけ10桁の解析に10時間ほど

  [ AES 256形式 ]
鍵長が最大256ビット:セキュリティ高い
対応していないと解凍できない:すべてのソフトが対応しているわけではない
パスワード解析にはが時間を要する:英小文字だけ10桁の解析でも1年くらいかかる

在も互換性の問題で Zipcrypto(ZIP 2.0)形式 が主流となっています。

そのせいで、8桁で英数字、記号を盛り込んだパスワードでも数十時間で解析できてしまうのです。(10桁以上で 大小英数記号を含めることで数十年は解析にかかるパスワードにはなりますが・・・。)

他にも理由はあるのですが、結論として

セキュアじゃない上に手間がかかっているだけなので すぐにPPAPはやめましょう!

ということです。

ちなみに、2020年11月に平井デジタル改革担当相も、この方式を廃止する方針であると共に自動暗号化ZIPファイルを廃止する旨を発表されています。政府も推奨ですね。代替え案は、内閣府のシステムにアクセスできる1回限りの使い捨てURLとログインパスワードを発行する方式をメインとする方法などをとるとのことです。

余談ですが、暗号化ZIPだけではなく、メール自体を暗号化する方法(S/MIME,PGPなど)もあるのですが、これも相手のソフトが対応していないと使えないため浸透しませんでした。

やはり、一般的に使われていることが前提なので、もっと早く広まっていれば『PPAP』は違った進化をしていたかもしれません。いえ、そもそも使われなくなっていたことでしょう。

重要なファイルの送信方法

1つの方法として、送信先と同じサービスを使い、指定したユーザしか表示できない状態で受け渡しができるのであれば安全だと思われます。

例) GoogleDrive、OneDrive、Chatwork、Skype、DropBox、Slack、Boxなど。

ただし この方法は、セキュリティは高いですが、クライアントごとにサービスを共通化するのは大変そうです。 Boxなどは、有料バージョンであれば 閲覧パスワード、URLの有効期限などが設定できます。
参考ページ:https://support.box.com/hc/ja/articles/360043697554-%E5%85%B1%E6%9C%89%E3%83%AA%E3%83%B3%E3%82%AF%E3%81%AE%E8%A8%AD%E5%AE%9A

送信者側だけが、サービスに契約していれば良いのでお金はかかりますが運用は楽ですね。

また、お手軽なのは、『ファイル転送サービス』を利用する方法です。
広告などが入る場合もありますが、非常に便利ですね。

[ 会員登録無料で利用できるサービス ]
・GigaFile便(https://gigafile.nu/
・データ便(https://www.datadeliver.net/
・firestorege(https://firestorage.jp/
・おくりん坊(https://okurin.bitpark.co.jp/

有料ですが、各社セキュリティや追加機能を有したサービスが受けられます。
[ 有料で利用できるサービス ]
・クリプト便(https://www.nri-secure.co.jp/service/solution/crypto
・GigaCC. (https://www.gigaccsecure.jp/
・smoothfile (https://www.smoothfile.jp/
・tenpu(https://www.tenpu.me/

各種サービスで機能が違うかと思いますが、ファイルの削除や非公開の設定を送信者自身で行える機能がある場合は、非常に助かるということです。

実務でのお悩みご相談ください

さて、いかがだったでしょうか?

『PPAP』は、無駄だからやめよう!!という気持ちになっていただけましたでしょうか。

この問題は、送信する側の理解と行動が重要です。受信側は、『PPAP』で送られてきた時点でその方法に準ずる外無くなります。

メールだけのやりとりにとらわれず、チャットサービスと利用するのでもよいでしょう。

方法は様々だと思います。正しい知識と理解を持ち セキュアなファイルの受け渡しを心がけていきましょう。

ライフエスコートでは、今回記載したファイルの受け渡し方法以外についてもご提案させていただきます。

ファイル送信サービスを運営している会社ではありませんが、一緒にお仕事をさせていただく中で生じる、例えばファイルサイズが大きいものを送りたい、ZIP以外のファイルの暗号化など、実際に業務で起こりえる様々な問題についてお力になれればと思います。ご興味を持たれた方は是非ご連絡ください。最後までお読みいただきありがとうございました。

株式会社ライフエスコートでは、自社サイトのEC売上が上がらなくて困っている、相談する人がいない、EC事業の売上の伸ばし方が分からない。そんな方に向けて無料メルマガ講座をご提供しています。現場で培ったノウハウを現役ECコンサルタントが余すことなくお伝えしていますので、お気軽にご登録ください!

現場で役立つプレゼント付き!最新ECノウハウで実践力が身につく! ECハウツー7日間 無料メルマガ講座に登録する