パスワード付きZIPファイルの廃止を目指して

関東学院大学
材料・表面工学研究所
堀内義夫

> 大変お世話になっております。
> 〇〇〇株式会社の〇〇です。
> 〇〇を添付ファイルとしてお送りします。
> ご査収のほどお願い申し上げます。

> なお、パスワードは別途お送り致します。
> 添付ファイル:〇〇〇〇.zip

 このようなパスワードを別送するメールを皆様も送受信した経験があるかと思います。日本では、添付ファイルをパスワード付きZIP(以下、暗号化ZIP)にして送ることがセキュリティ対策として重視され、さらにビジネスマナーだとする時流がありました。
 しかし、ここ数年でこの添付ファイルに暗号化ZIPを送受信することが問題視されはじめました。暗号化ZIPを作成し、メールに添付して送り、2通目でパスワードを送る。これを「PPAP」と呼びます。

Password付きZIPファイルを送ります
Passwordを送ります
An号化(暗号化)
Protocol(プロトコル)

 ピコ太郎(古坂大魔王)の楽曲で、世界的にスマッシュヒットした『ペンパイナッポーアッポーペン(PPAP)』から名付けられました。現在でも多くのICTベンダーが、添付ファイルを自動的に暗号化ZIPに変換するPPAPサービスを販売しています。PPAPの問題点は次の2つに集約されます。

1. セキュリティ対策としてほぼ意味がないどころか悪影響。
2. (送)受信者に手間をかけさせるだけで生産性を低下させる。

 具体的には、ICTベンダーがPPAPサービスを販売する際にアピールしてきた代表的なメリットをつぶしながら説明します。

・メールが盗聴された際の情報漏洩を防ぐ
 PPAPを採用する際に最も重要視されるメリットであり、最も大きな誤解です。
 そもそも、情報漏洩を気にするメールの送受信は暗号化されている必要があります。ビジネスに関するメールであれば、SSL/TLSによって暗号化した運営が最低限のスタートラインになります。暗号化されていない平文のメールを送受信している場合は、PPAP以前の問題でしょう。平文のメールは、郵便葉書の文面と同じように(通信経路にアクセスできれば)誰でも閲覧可能です。一方で、暗号化されているメールを第三者が傍受することは可能ですが、復号することはまず不可能です。
 その不可能を何らかの手段で突破し、メールの文面を盗み見されたとしましょう。本文とパスワードを同じ通信経路(同じメールアドレス)で送信すれば、2通とも読まれる可能性は極めて高いです。もし、暗号化ZIPをメールで送るのであれば、パスワードは電話やチャットツール、口頭であらかじめ決めておくなど、メールとは別経路で送信すべきです。
因みに、暗号化ZIPのパスワードが8桁程度の英小文字だけであれば、解読には1分も必要ありません。小文字大文字数字記号を組み合わせた複雑なパスワードならば解読に何日もかかる可能性もありますが、不可能を突破した第三者が暗号化ZIPのパスワードを解読出来ないと考えるのは無理があります。また、複雑なパスワードであれば解読の難度は上がりますが、PPAPであれば2通目にパスワードが書いてあります。
 つまり、PPAPはセキュリティ対策として価値がありません。複雑なパスワードを設定し、パスワードを別経路で送信する半PPAPであればセキュリティは向上する可能性があります。

・誤送信による情報漏洩を防ぐ
 メールの送信先を間違えるというのは、誰もが経験していることだと思います。PPAPにより、誤送信による情報の拡散を防ぐことができる、というのがICTベンダーの売り文句です。これは、添付ファイルを本文で送信した際に自動で暗号化ZIPに変換し、パスワードを自動で次のメールで送るPPAPサービスを導入していない場合は有効ではあります。手動でパスワードを送信する場合でも、送り先を確認せずに本文メールを返信するようでは誤送信対策としては効果が薄いでしょう。
 しかし、そもそもPPAPを誤送信対策として機能させる必要があるのでしょうか。誤送信対策には、メールを送る前に送信先のアドレスやTo、CC、BCC、社外アドレスや新規アドレスの有無などを確認する機能を取り入れることが望ましいです。また、送信を一時保留する機能により、送った直後なら送信を取り消すことが可能です。他にも、上長承認機能はメール内容や添付ファイルを上長の承認の後に送信する機能で、誤送信対策としては有効ですが工数がかかるデメリットはあります。
 しかし、これらは全てPPAPを併用する必要がありません。また、先ほど述べたようにZIPのパスワードは充分に複雑でない限り復号可能です。暗号化ZIPであっても誤送信した時点で漏洩したと判断するべきです。誤送信対策はAIを利用したサービスも出始めるなど、今後の発展が期待されます。

・対外的なアピールになる
 PPAPを導入することで、外部からはセキュリティ対策がしっかりしている組織だと感じてもらえることがメリットであるとされていました。PPAPは日本国内のみで適用されてきたガラパゴスルールではありましたが、国内で個人情報を取り扱うような会社に対しては大きなセールスポイントでした。今でも同様の印象を持つ人もいるでしょうし、対外的にも見栄えが良いようです。
 しかし、実際にはセキュリティ上の悪影響があります。殆どのICTベンダーのメールサービスでは、届いたメールにサーバー上ウィルスチェックをします。ZIP内もチェックするのですが、暗号化ZIPは中身が分からないためチェックできません。そのため、セキュリティ上のリスクとなります。
暗号化ZIPは、2022年2月現在も猛威を振るっているEmotetと呼ばれるウィルスの感染経路として利用される場合があることが報告されています。
(Emotetについてはhttps://www.ipa.go.jp/security/announce/20191202.html>をご覧ください。非常に大きな脅威です。)

見た目は(今は)良いかもしれませんが、実のないのがPPAPです。
 PPAPは、メールを暗号化するといった概念がまだ薄かった時代に生み出された苦肉の策だったのでしょう。いつしか一般化し、マナーとなり、個人情報の取り扱いが適切であることを表すプライバシーマークを取得する際のセキュリティ対策として認められてしまいました。
 しかし、PPAPの総本山とまで言われていたプライバシーマークを管轄するJIPDECは、2020年に暗号化ZIPのパスワードを別送する手法を推奨したことはないと声明を出し、多くの関係者を驚かせました。ICTベンダーに関わっていた何年も前から暗号化ZIPは厄介な問題とは認識されていましたが、売り上げのためやクライアントが必要だと言うからとPPAPサービスを販売し続けていました。プライバシーマークやISO(ISMS)の取得に必要だと説明されると、多くの企業が導入しました。当時、このPPAPサービスを売りながらも「控えめに言って何の意味もない。」と話していた知り合いもいます。
 冒頭でICTベンダーがPPAPサービスをいまだに販売していると述べましたが、多くは廃止または様子見の方向で進んでいます。そのような中でもPPAPをセキュリティ対策として販売してくるICTベンダーやコンサルは信用に値しません。暗号化ZIPを用いるのはほぼ無意味どころか悪影響があります。
 PPAPと命名した大泰司章氏が紹介している「仕事ごっこ その"あたりまえ"、いまどき必要ですか? 」(沢渡あまね著)では、「メール添付で圧縮してパスワードつけて、パスワードは別送」することを、意味がないのに手間がかかり生産性を損なう仕事ごっこと揶揄しています。
 これだけのことがわかっていてもPPAPを辞められない組織があります。社内システムにPPAPを入れてしまったがために変更が難しい、代替サービスの切り替えにコストを掛けられないなど、様々な理由があります。利用者である一般ユーザー(管理者・経営者以外)は、組織のポリシーや運用ルールに従うしかありません。
 そもそもPPAPがポリシーや運用ルールに明記されているのか、そのポリシーや運用ルールは有用なのか、よく考える必用があります。暗号化ZIPの受信拒否や配送しないなど、日本政府や大企業も続々とPPAP廃止を表明し、PPAPは過去の遺物になりつつあります。

 以上、PPAPの問題点について簡単ながら説明させていただきました。日頃から私自身も、関係者から送られてくる暗号化ZIPを受信しているため、PPAPを否定しにくい面もあります。内容が古かったり間違っていた場合は、全て私個人に責任があります。PPAPからの脱却には、しっかりとしたICTベンダーにご相談いただくことが最良かと思います。

 最後になりましたが、PPAPの代替についても簡単ながら文末にまとめさせていただきました。今後、無駄なPPAPを使用しないことが当たり前の社会が実現することを期待しています。

PPAPから脱却する理由
1. セキュリティは向上しないどころか悪影響。
2. 場合によっては誤送信または情報流失の予防にはなるが、PPAP以外の対策をするべき
3. プライバシーマークやISO(ISMS)の取得にPPAPは不要

PPAPの代替
1. メールをさらに強固に暗号化(S/MIME, PGP) - 電子署名によるなりすましも防止
2. クラウドストレージの共有機能 - 誤送信時はクラウドからファイルを削除
3. パスワードを別経路で送信(半PPAP) - (送)受信の負担大
4. そのまま添付して送信