企業・法人向けファイル共有・ファイル管理・ファイル送受信サービス「WebFile-ウェブファイル」

機能詳細

WebFile TOP ＞機能詳細＞ PPAPとは？問題点と代替案を徹底解説！パスワード付きzipファイルからの卒業

最終更新日：2024/02/09

PPAPとは？問題点と代替案を徹底解説！パスワード付きzipファイルからの卒業

PPAPとは、1通目のメールに暗号化したパスワード付きのZIPファイルを添付し、2通目のメールでファイルを開くためのパスワードを記載し送信するセキュリティ対策です。これまで公的機関や多くの企業が採用し広く利用されてきたセキュリティ対策ですが、近年、複数の問題点・セキュリティリスクが指摘され、企業間でPPAPを廃止する動きが広がっています。

こうした公的機関や企業の間で問題視されているPPAPの問題とはどういった点なのでしょうか。

そこで今回は、PPAPの危険性や問題点、企業向けファイルストレージサービス「WebFile」がPPAPの代替案としておすすめの理由を徹底解説します。

PPAPとは？

PPAPとは、暗号化したパスワード付きZIPファイルを1通目のメールに添付し、その後ファイルを開くためのパスワードを記載した別メールを送信するファイル共有方法のセキュリティ対策を指します。
PPAPという名称は、以下単語の頭文字をとった言葉です。

P: Password付きのZIP暗号化ファイルを送ります
P: Passwordを送ります
A: Angoka（暗号化）
P: Protocol（プロトコル）

企業間のファイル共有を目的としたセキュリティ対策方法ですが、多くの問題点・危険性が指摘され、日本政府は2020年にPPAP廃止の方針を発表しました。現在では多くの企業でPPAP廃止の動きが広がっています。

PPAPが広く採用されてきた背景

PPAPが多くの企業で広く採用されてきた背景には、ある誤解があったためと言われています。

2005年、政府によって個人情報保護法が施行されたことでプライバシーマーク取得の動きが企業に広がりました。この動きに合わせ一部のコンサルタントが総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考に規程を作成しました。
しかし、同ガイドラインに記載された「パスワードはメール以外の方法で送ること」など、一部文言の認識が不十分だったと言われています。

こうして不完全なセキュリティ対策のPPAPは、ある誤解による解釈の規定のまま企業間に広がってしまったのです。

PPAPの危険性と問題視される理由

メール内容が漏えいする可能性

PPAPは、暗号化したZIPファイルをメールで送信した後、同じ通信経路を使用しパスワードをメールで送ります。つまり第三者に最初のメールを盗聴された場合、パスワードも同様に窃取されるのは言うまでもありません。また、ファイル・パスワードともに宛先を誤って送信し、情報漏えいにつながるリスクも考えられます。

マルウェア感染のリスク

2020年、パスワード付きZIPファイルを使った攻撃方法で感染するマルウェアEmotet(※1)が流行しました。経済産業省のIT政策実施機関、IPA情報処理推進機構はウイルスに感染したという相談の急増、Emotetの攻撃例を掲載し注意を呼びかけました。(※2)

セキュリティ対策ツールを導入していれば、通常は自動でZIPファイルは解凍されウイルスチェックが行われます。ですがツールによってはパスワード付きZIPファイルが解凍できず、ウイルスチェックをすり抜ける恐れがあります。もしもファイルの中にウイルスが潜んでいた場合、デバイスが感染しマルウェアによる情報漏えいにつながります。

※1 Emotet：情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルス

※2 参照：相談急増／パスワード付きZIPファイルを使った攻撃の例（2020年9月2日追記）

(いずれもIPA情報処理推進機構『「Emotet」と呼ばれるウイルスへの感染を狙うメールについて』より引用)

現代の働き方に適していない

業務の効率を重視する現代において、PPAPは適したセキュリティ対策とはいえません。
PPAPは送信側・受信側の負担が大きく、送信側はパスワードで暗号化したZIPファイルをメールで送信し、さらに別メールでパスワードを送信します。受信側も2回に分けてメールを確認し、ZIPファイルを解凍しなくてはなりません。
パスワードメールを受信後すぐに確認できなかった場合、他メールに埋もれてしまったメールを見つけ出す手間が発生します。

このようにPPAPが問題視される理由は、業務効率の低下や情報が漏えいする危険性が高いといった、いずれも問題点が深刻であることです。

パスワード付きZIPファイルの本質的な問題

ZIPファイルのパスワードは、ログインパスワードのように回数制限を設けることができず何度でも入力できるうえ、日本で一般的に利用されているZIP暗号化方式「ZipCrypto」は96bitのため、容易に解読される可能性を指摘されていました。

ZIP暗号化にはAESとZipCryptoの2つの方式があります。
AESのbit数(数が大きいほど第三者に解読されにくい)は256bitあり、2の256乗で鍵の長さは途方もない天文学的な数字になることからスーパーコンピュータで攻撃しても解読に数百兆年かかると言われています。ですが、AESはWindowsの標準機能では復号・解凍をすることができません。
一方、ZipCryptoはAESに比べ96bitと容易に解読可能な脆弱性が問題視されながらも、Windows標準OSで復号・解凍ができるため広く利用されています。

そのような中、2021年7月、情報セキュリティメーカーのデジタルアーツ株式会社がメールに添付されたZIPファイルのパスワード解読に関する分析レポートを公開・発表しました。一般的な誰でも利用できるパスワード解読ソフトで解読を試みた結果、英語の小文字6ケタは1秒未満、英語の小文字＋数字12ケタと若干多めの桁数であってもわずか2分51秒で突破できたと発表。
これらの分析から「パスワードの運用には限界がある。」と同社はPPAPなどで使われるZIPファイルのパスワードに関して警鐘を鳴らしています。

参考: デジタルアーツ株式会社によるZIPファイルのパスワードに関する分析レポートより

PPAP廃止への動き

2020年11月、日本政府はセキュリティ対策や効率の面において複数の問題点が指摘されているPPAPを廃止しようと、当時のデジタル改革担当大臣が「自動暗号化ZIPファイルを廃止」する方針を示し、内閣府・内閣官房で採用していたPPAPの廃止を発表。同時に、複数の民間企業もPPAPの廃止を進めている旨が発表されました。

大きな波紋を呼んだこの記者会見の後、2022年1月には文部科学省が公式サイト上でPPAPを廃止すると発表。これら政府の動きに歩調を合わせるようにPPAP廃止の動きが企業間で広がりを見せ、今後も一層加速していくとみられます。

PPAPは日本だけに広く浸透したセキュリティ対策

では、海外のPPAP廃止への動きはどうなのでしょうか。
2007年、アメリカ商務省に属するNIST（米国立標準技術研究所）が策定したドキュメントに、「暗号化したメッセージと暗号化したパスワードを別メールで送信する」とありますが、このセキュリティ対策を利用している企業はほぼ見られません。また、暗号化方式も日本で一般的に利用されているZipCryptoでなく、256bit(AES)での利用を推奨しています。

海外ではパスワード付きZIPファイルが添付されたメールは怪しまれる傾向にあり、受信自体を拒否している企業が多いため、メールでのZIPファイル共有は日本のように浸透していません。

2020年10月には、CISA(米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁)がマルウェア「Emotet」の対策として、ZIPファイルが添付されたメールをブロックするよう推奨しています。

参考: NISTによる電子メールのセキュリティに関するガイドラインより

参考: CISAによるパスワードZIPファイルをブロックする対策を提唱より

PPAPの代替案

PPAP廃止の動きが加速している中、その代替案や対策方法の確立が求められています。

セキュリティ対策や効率化の面で考えると、オンラインストレージサービスの活用が効果的でおすすめです。セキュアな環境でファイル送受信・共有・管理ができるため、第三者から社内機密データの盗聴を防ぎます。

数あるオンラインストレージサービスの中でも、弊社製品「WebFile」は高いセキュリティと扱いやすく管理しやすいシステム、ワンタイムパスワード(一度だけ、あるいは短期間だけ利用できるパスワード)やSMS(ショートメッセージ)を利用した強固なセキュリティ対策、メール一斉送信による業務効率化等、脱PPAPに求める機能が豊富に揃っています。
お客さまのご要望に添ったカスタマイズも可能ですので、導入を検討している方はお気軽にご相談ください。

一度しか利用できないワンタイムパスワードとは？ ≫

SMS(ショートメッセージ)を利用した強固なセキュリティ対策、SMS認証機能について ≫

宛先ごとに異なるファイルを誤送信なく安全に一斉送信できる、一斉配信機能を解説！ ≫