技術観点で暴く“PPAPの無意味さ” 本気で脱却を目指す企業に向けた代替策

多くの企業が、パスワード付きZIPファイルをメールに添付し、別メールでパスワードを送付する「PPAP」からの脱却を目指している。メールセキュリティの専門家である上原 哲太郎氏が技術観点でPPAPの無益さを指摘し、効果的な代替策を紹介する。

[吉田育代，ITmedia]

　パスワード付きZIPファイルをメールに添付し、別メールでパスワードを送付するいわゆる「PPAP」を廃止する動きが盛んだ。これを実現するためには取引先や社内部署との調整も重要だが、まずはPPAPのデメリットや代替策を正しく把握することから始まる。

　本稿は、アイティメディア主催のオンラインセミナー「ITmedia Security Week 2022春」（2022年2月28〜3月7日）の「脱PPAP」をテーマにした、上原 哲太郎氏（立命館大学情報理工学部　教授）による基調講演「結局のところ、メールの添付ファイルはどうやって送ればいいの？」の様子をレポートする。技術的な観点から明らかになったPPAPの問題点とは。

併せて読みたい関連記事

• 旧態依然の習慣「PPAP」からの脱却を　問題点と代替策を解説
• PPAP問題、これが総まとめだ――名付け親が語る廃止のきっかけと「2つの壁」とは
• 加速する“脱PPAP”の動きに乗り遅れないために　（少しだけならば）変化を受け入れよう

“PPAPはなぜ意味がないのか”　メールセキュリティの誤解を正す

　PPAPの主なデメリットといえば、別送されたパスワードを添付ファイルに入力して復号する手間が掛かる点や、暗号化された添付ファイルがメールサーバのウイルスチェックをすり抜ける点などが挙げられる。だが上原氏は、そもそもPPAPが日本の商習慣に根付いた要因である“メール盗聴の防止効果”について疑問が残ると話す。

立命館大学情報理工学部　上原 哲太郎氏

　「メールの盗聴は通信経路ではなくメールアカウントを窃取するケースが多くを占めています。確かに以前は、複数の中継サーバを経由してメールが送られていたため、プロセスの中で『SMTPプロトコルが読み取られるリスク』や『信頼できない中継サーバを経由することでメールを盗み読みされるリスク』が存在しました。しかし今日では、ISP事業者がSMTP通信の運営を担っていますし、日本では法的な規制もあり簡単には盗聴できません」（上原氏）

誤解されているメールのリスク（出典：上原氏の講演資料から抜粋）

　中継サーバについても現在は、送信側もしくは受信側のドメインに属するようになり、第三者を介してメールを送るケース自体が減っている。今や“メール盗聴のリスクに備えてPPAPを採用している”という言い分は通らないと言えるだろう。