ppap_emotet

PPAP問題とは?エモテットに悪用される危険性から代替案まで解説

2022/02/15

メールを送信するときに活用されるPPAP。

PPAPは特定の人だけが機密性のある情報を閲覧できるようにするために、多くの企業が活用していました。しかし、セキュリティ上のリスクが高くなったため、廃止する動きが目立っています。

PPAPのセキュリティリスクを把握して、より漏洩の危険性が少ない方法で機密ファイルを管理する必要があります。

本記事では、PPAPにまつわる問題を解説します。PPAPに代わるメールでのセキュリティ対策も紹介しますので、ぜひ参考にしてください。

PPAPとは

PPAPとは、Eメールで使われる送信方法の1つで、PPAPのそれぞれの文字には、以下の意味が含まれています。

文字

意味

P

パスワード(Password)付きZIPファイルを送信する

P

パスワード(Password)を送る

A

暗号化(An号化)する

P

プロトコル(Protocol、手順)

 

より詳しく意味を解説します。

PPAPは添付ファイルをZIP化して送る方法

メールにファイルを添付する際に、添付ファイルをパスワード付きZIPファイルの形式にして送信する方法をPPAPと呼びます(パスワードは別途で送信します)。

メールを受信した人は、パスワードを入力してZIPファイルを展開してデータを確認します。

 

PPAPを利用する意味

機密性の高い情報をメールで送信する際は、漏洩のリスクを低くする必要があるため、PPAPは活用されていました。

添付するファイルをZIP化して圧縮しておくことにより、パスワードを知っている人以外はファイルを閲覧できないため、PPAPは、特定の人だけが機密ファイルを閲覧できるようにするための方法であったわけです。

 

PPAPが廃止される理由

仕組みだけ見ると、PPAPは漏洩リスクを守りながら機密情報を共有できる便利な方法に思えます。

しかし、セキュリティの危険性が指摘されたため、現在はPPAPが廃止される動きが目立ってきています。

 

PPAPはエモテットに悪用される危険がある

PPAPが廃止される理由の一つとして挙げられるのは、「エモテット」に悪用される危険性です。

エモテットとはマルウェアの一つで、感染力と拡散力の強さが特徴です。

エモテットは、2014年ごろからアカウント情報の窃取やウイルス感染の拡大を目的として利用されるマルウェアで、これまで世界中で猛威を振るってきました。

その後、2021年1月、欧州刑事警察機構(Europol)によるテイクダウン作戦が成功したためエモテットの脅威は去ったかと思われましたが、2021年11月ごろから再び活動を始め、対策が急がれています。

デバイスが現在のエモテットに感染すると、Outlookのメール情報が盗み出されます。

さらに盗んだ情報をもとに偽装メールを作り出し、それを業務上でのコミュニケーションに混ざり送信してきます。

偽装メールにはマルウェアに感染させる罠が仕掛けられたファイル添付されており、油断してファイルを開くとデバイスがマルウェアに感染してしまいます。

エモテットに感染すると、他のユーザーが使用するデバイスにも感染させたり、情報流出のリスクが伴ったりするわけです。

この問題が生じたことで、文部科学省は2022年1月4日から、メールの受信者がクラウドストレージから機密ファイルをダウンロードする方式を取り入れました。

PPAPはその他のリスクもある

PPAPにはエモテットによる悪用の他に、以下3つのリスクもあります。

・メールを誤送信する恐れがある
・ファイル展開後に情報漏洩する恐れがある
・送信者と受信者のお互いに手間がかかる

 

メールを誤送信する恐れがある

PPAP方式で添付ファイルをZIP化する場合、送信する相手先を間違える危険が伴います。

「添付ファイルをZIP化しているから、相手先を間違えても大丈夫じゃないの?」と考える人もいると思います。

しかし、相手がしらみ潰しにさまざまなパスワードを試してファイルが開かれる可能性はゼロではありません。

またZIPファイルのパスワード解析ツールも存在するので、メールを誤送信した場合のリスクは高いといえるでしょう。

 

ファイル展開後に情報漏洩する恐れがある

送信元であるデバイスがマルウェアに感染していなくても、受信する相手のデバイスが感染していると話は変わります。

受信相手のデバイスがマルウェアに感染している場合、偽装メールによってZIPファイルから展開されたデータが漏洩されかねません。

 

送信者と受信者のお互いに手間がかかる

送信者と受信者の手間がかかる点も、PPAPのデメリットです。

PPAPを利用する場合、まず送信者がファイルをZIP化する手間が生じます。

また送信者と受信者のどちらも、そのZIPファイルを閲覧するためにパスワードを管理しなければいけません。

使用するZIPファイルが増えるほど管理するパスワードは増えるので、生産性の高い方法とは言いがたいです。

 

PPAPの代替案

PPAPを廃止するためには、代わりとなる安全性の高い方法を用いる必要があります。

有力な代替案は以下の2つが挙げられます。

クラウドストレージの利用
グループウェアの活用

それぞれの代替案を詳しく解説します。

 

クラウドストレージの利用

ベターな方法はクラウドストレージの利用です。

クラウドストレージはセキュリティ上の問題が少なく、ストレージでファイルを共有することで情報漏洩を防止できます。

ただし、権限設定をしておかないと、ファイルのURLを知っていれば誰でもアクセスできてしまうというデメリットがあるため、権限設定が欠かせません。

 

グループウェアの活用

マイクロソフト社の「Microsoft Teams」をはじめとしたグループウェアの利用も、代替案の一つです。

グループウェアでは共有するファイルをソフト上でやり取りできるので、効率的に作業できます。

グループウェアは承認されたメンバーのみが利用できるので、権限管理の手間は少なめです。

 

欠かせないセキュリティ対策

エモテットをはじめとしたマルウェアは、あらゆる手段でデバイスへ侵入しようとします。とくに不正アクセスによるマルウェア感染は多く、注意しなければいけません。

そのため、普段からのセキュリティ対策の一つとして、セキュリティソフトの導入は非常に有効です。

セキュリティソフトは種類ごとに性能が違うので、品質を重視して選ぶ必要があります。

そこで、ニフティが提供する「常時安全セキュリティ24」に注目してください。

常時安全セキュリティ24は、評価機関であるAV-TEST による「Best Protection Award」を10年で7度受賞した実績があり、セキュリティソフトとしての性能は申し分なく、不正アクセスの防止はもちろん、偽サイトのブロックやネット銀行での通信保護といった機能も備わっています。

 

【キャンペーン実施中】

ニフティポイントクラブ経由で常時安全セキュリティ24を申し込むとニフティポイントが通常800pのところ1,000pもらうことができます。ニフティポイントを@nifty使用権に交換すると1.5倍となり、実質3カ月分の利用料金が0円になります。
詳しくはこちらからご確認ください。2022年9月30日までの夏休み限定のキャンペーンなのでお見逃しなく!

>利用料金などの詳細は「常時安全セキュリティ24」にてご確認ください
sec24

※2022年2月時点の情報です。

【2022】最低限やっておきたいスマホのセキュリティ対策13個

@niftyのおすすめインターネット接続サービス

  • @nifty光
  • ドコモ光
  • auひかり