よくある質問・用語集

  • もっと調べる
  • どうやって使う?

PPAPとは

PPAPとは、メールでファイルを送る時に、パスワード付きZIP形式で暗号化して送付し、その後でパスワードも送付するという手法である。PPAPは、ピコ太郎が流行させたPPAP(Pen Pine Apple Apple Pen)にもじって付けられた名前で、「Password付きzipファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル)」の略称である。また、「Pre send Password file After send Password」という訳が後付けで行われている。

この方法は、日本国内の企業でよく使われているが、日本以外の国ではメジャーな方法ではない。一説には、プライバシーマークの監査基準として定められたファイルの暗号化を実現するための方法として広がったと言われている。また、IPA(独立行政法人 情報処理推進機構)も以前はこの方法を推奨していた。しかし、2020年11月12日に平井デジタル改革担当相が定例会見にて、廃止の方向で検討を進めることを表明したことから、注目を集めた。さらに、総務省も「令和2年版情報通信白書」の中で、ファイル添付メールを利用したマルウェアによる感染拡大を取り上げている。こうしたことから、多くの企業でPPAPの見直しが進めらている。

PPAPの送信方法

念のため、PPAPでのファイル交換の方法をまとめると次のようになる。

  1. ファイルをZIP暗号化し、パスワードを設定する
  2. 暗号化したファイルをメールに添付して送信する
  3. 別のメールで暗号化のパスワードを送付する
  4. 受信者は、最初のメールから添付ファイルを取り出す
  5. 受信者は、別のメールからパスワードを取り出す
  6. 受信者は、取り出したパスワードを使って添付ファイルを展開する

PPAPの問題点

PPAPでは、次の3つの点が問題とされている。

  • セキュリティとしての意味の問題

    そもそも、ファイルとパスワードを別のメールで送っても、短い間に同じ通信経路で送っていることが問題と指摘されている。もし、メールを盗み見ている人がいるとどちらのメールも見ることができてしまうため、添付ファイルを容易に展開することができてしまう。

  • ZIPの暗号強度の問題

    ZIPで通常使われている暗号方式は、「Traditional PKWARE Encryption」であり、ZipCryptoとも呼ばれる。この暗号方式は脆弱で、簡単に破られてしまう危険性がある。ZIPでは、AES 256bitなどの強力な暗号方式も利用できるが、Windows標準のエクスプローラーで複号できないなどの問題もあるが、あまり使われていない。そのため、ZIP暗号化されたファイルはパスワードが分からなくても解読できてしまう可能性が高い。

  • ウィルスやマルウェアが検出できない問題

    メールは、ウィルスやマルウェアの感染の主な原因となるため、メールサーバでは添付ファイルに対するウィルスチェックを実施することが推奨されている。しかし、例えウィルスチェックの仕組みが導入されていても、受信側のメールサーバでは添付ファイルを展開することができない。そのため、メールサーバでのチェックをすり抜けて、メール受信者がウィルスやマルウェアに感染してしまうという問題がある。

PPAPの代替方法

このような問題点を避けるため、デージーネットでは次のような方法を推奨している。

オンラインストレージを併用する

オンラインストレージを利用して、ファイルを交換する方法である。

  • メールの通信(SMTP、POP、IMAP4)をTLS暗号方式などを使って暗号化する
  • ファイルの受け渡しをオンラインストレージのURL共有で行ない、メールでURLを送付する
  • URL共有のパスワードをメール以外の方法で知らせるか、事前に共有したパスワードを使う

チャットを使ってファイルを共有する

メールでの添付ファイルの受け渡しを禁止し、チャットでファイルの受け渡しを行なう。次のような仕組みを導入することが望ましい。

  • 必要な人をユーザが自由に招待することができるチャットシステム
  • メールサーバでメールの添付ファイルを禁止、または、削除する仕組み

PPAP対策で使えるOSS

ここでは、PPAP対策を行うために利用できるOSSを紹介する。

Nextcloud

クラウド上のオンラインストレージに重要なファイルを配置するのが心配という場合には、OSSのオンラインストレージを利用することができる。

Nextcloudは、オープンソースのオンラインストレージのソフトウェアである。プライベートなオンラインストレージを作成するために利用することができる。プライベートなオンラインストレージを用意することで、次のようなメリットがある。

  • セキュリティ上のメリット

    クラウドのオンラインストレージは、どこの国に配置されているか分からない。日本の通信事業者は、通信事業法で通信の秘匿が義務づけられている。しかし、他の国では、通信の秘密やオンラインストレージ上のデータの秘匿に関して、完全に保証されるわけではない。例えば、中国や米国では、政府の要請があればクラウド事業者はファイルを開示する可能性がある。また、最近ではクラウド事業者がユーザ情報を漏洩するなどの事件も相次いで発生している。そのため、クラウドサービスに完全なセキュリティを期待することはできない。

    Nextcloudを使って、プライベートなオンラインストレージを構築すれば、セキュリティは自社でコントロールすることができる。そのため、安心して情報共有のために利用することができる。

  • コスト上のメリット

    オンラインストレージは、ビジネスで利用する場合にはアカウント数やストレージ容量によって有償になる場合が多い。そのため、大きな組織では、かなりのコストが掛かる。オープンソースのNextcloudを使って、プライベートなオンラインストレージを構築すれば、こうした費用を低減することができる。

SaMMA

SaMMAは、メールの安全化のためのオープンソースソフトウェアである。以前は、添付ファイルを自動的にZIP暗号化する機能がよく利用されていた。SaMMAでは、パスワードを別経路で送ることを推奨し、事前に共有したパスワードを管理する機能も持っていた。しかし、多くの組織ではPPAPの手法に沿って、添付ファイルを自動的に暗号化するソフトウェアとして利用されていた。最近では、この方法に加えて、PPAPの禁止のための機能や、オンラインストレージとの連携等の機能を利用することができる。

オンラインストレージの連携

SaMMAには、メールに添付されている添付ファイルを自動的にオンラインストレージ(Nextcloud)にアップロードする機能が実装されている。メールには、添付ファイルの代わりに、オンラインストレージからダウンロードするURLの案内が添付される。事前に受信者との間で共有パスワードが設定されている場合には、自動的に共有パスワードが設定される。共有パスワードが設定されていない場合には、メールの送信者に自動発行されたパスワードが通知される。メール送信者は、メール以外の方法で、このパスワードを受信者に送ることで、ファイルの交換を安全に行うことができる。

添付ファイルの削除や無害化

SaMMAには、添付ファイルを削除する機能もある。この機能を使って、添付ファイルの利用を禁止する事ができる。また、添付ファイルを削除してしまうのが心配な場合には、添付ファイルを隔離ZIPと言われる形式に変換することもできる。隔離ZIPは、メールサーバの管理者にパスワードをもらうまで回答できない。さらに、ZIP形式のファイルのみを削除したり、別のデータに置き換えることもできる。

Rocket.Chat

Rocket.Chatは、オープンソースのビジネスチャットシステムである。企業内のプライベート環境にシンプルなチャットシステムを構築できる。プライベートのRocket.Chatを構築すれば、課金を心配することなく、すべての社員やお客様がビジネスチャットに参加できる。

Rocket.Chatでは、外部のユーザをチャットルームに招待することが可能である。この機能を使えば、メールとは別のコミュニケーションインフラとして、パスワードの通知用に使うこともできる。また、Rocket.Chatでは特定の相手に、ダイレクトメッセージを送信できたり、ファイルを共有することもできる。そのため、ファイル交換のインフラとしても利用することができる。

Rocket.Chatのユーザは、WebブラウザからRocket.Chatを使うことができる。TLSで通信セッションを暗号化するようにすれば、パスワードやファイルの交換も安全に行える。

【カテゴリ】:セキュリティ  メール関連技術  

  • もっと調べる
  • どうやって使う?

【追加日程】【Webセミナー】『Rocky Linux』VS『AlmaLinux』 CentOS8の代替OS比較セミナー

日程: 9月29日(水)Webセミナー「BigBlueButton」を使用します。
内容: 今回は、新たに『Rocky Linux』を調査・検証しました!調査結果を踏まえ『AlmaLinux』と『Rocky Linux』を比較検討します。
ご興味のあるかたはぜひご参加ください。

セミナー申込

関連用語

PPAPに関連するページ(事例など)

PPAPとは先頭へ