PPAP問題、これが総まとめだ――名付け親が語る廃止のきっかけと「2つの壁」とは

中央省庁の動きをきっかけに、民間企業に「PPAP廃止」の波が来ている。PPAPの名付け親である大泰司 章氏は、その問題点をどのように考えているのだろうか。脱PPAPを阻む2つの壁とは何か。

» 2021年03月11日 07時00分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 2020年11月、平井卓也デジタル改革担当相は、パスワード付きZIPファイルをメールに添付して送り、その直後にファイルを解凍するためのパスワードをメールで送る方式、いわゆる「PPAP」を中央省庁において廃止する方針を打ち出した。これをきっかけに、日立製作所(以下、日立)が社内ルールでPPAPを全面禁止にするなど、民間企業における「脱PPAP」の動きが広がりつつある。

PPAPとは(出典:JPAAWG)

 だがメールセキュリティ対策のデファクトスタンダードとしてPPAPが利用されてきたことは事実だ。JPAAWG(Japan Anti-Abuse Working Group)が2021年2月25日に開催したカンファレンス「パスワード付きzip添付メール問題を考える」の基調講演「PPAPとは」で、名付け親である大泰司 章氏(PPAP総研 代表社員)がその問題点を語った。

PPAP廃止に向けた動きが促進された2020年を振り返る

大泰司 章氏(PPAP総研 代表社員)

 PPAPの問題点を取り上げる前に大泰司氏の経歴を紹介しよう。同氏は、事業者の個人情報の取り扱い体制を評価する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)に所属後、PPAP総研を立ち上げた。同問題については、いわば第一人者だ。

 大泰司氏は現在、同組織で電子契約やEDI(Electronic Data Interchange:電子データ交換)、ERP(統合基幹業務システム)、fintechといった技術の他、メールやWebサイトのなりすまし対策、メール送信マナー、サプライチェーン効率化、情報セキュリティ、営業秘密(個人情報)保護をなどを対象にしたコンサルティングに従事する。

 同氏によると、PPAP廃止のきっかけには大きく2つの出来事が関係しているという。一つは、先日テイクダウンが発表されたマルウェア「Emotet」の流行だ。Emotet自体は2019年から国内で流行していたが、2020年7月に第2波が発生した。第2波の特徴は、メールにWord形式のパスワード付きのZIPファイルを添付していたことだ。受信者にWordファイルのマクロを実行させることでマルウェアをダウンロードさせる。

 この攻撃手法の厄介な点は、ZIPファイルがマルウェアフィルターをすり抜けてしまうことにある。メールで送られてきた暗号化ZIPファイルを開く習慣がある国内企業を標的に感染を拡大させた事例と言えるだろう。情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)は、同攻撃に関する注意喚起を実施した。Emotetの脅威がひとまず収まったとはいえ、類似のマルウェアが同様の手法で攻撃を仕掛けてこないとは限らない。

Copyright © ITmedia, Inc. All Rights Reserved.