PPAP (セキュリティ)

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動

PPAP Pre send Password file After send Password (Password付きzipファイルを送ります、Passwordを送ります、Aん号化(暗号化Protocol(プロトコル))[1]コンピュータセキュリティの手法の一つ。主にメール等における添付ファイルの送信手法として「パスワード付きzipファイルと、そのパスワードを別送する」という段階を踏む、日本において多く見られる情報セキュリティ対策手法。

日本情報経済社会推進協会に所属していた大泰司章(現・PPAP総研)によって問題提起・命名された[2]ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司がヒントを得て命名された[3]。セキュリティ対策としての意味を為さないものとして有害視されている。PPAPという用語は『日本情報経済社会推進協会』の発行する文書にも使われている[4]

本手法は2021年現在、日本国内において官民問わず広く使われている。

具体的な方法[編集]

PPAPによるファイルの送受信は、次のような段階によって行われる。

  1. 送信者は、ファイルをパスワード付きzipファイル暗号化し、メール添付して送信する。
  2. 送信者は、1.で送信した添付ファイルのパスワードを、別途メールにて送信する。
  3. 受信者は、送信者から受け取った添付ファイルとパスワードによってファイルを復号し、中身を得る。

特に2.におけるパスワードの送信を、1.の添付ファイルと同一の経路で(メールやチャットといった手段を変えず、また同一メールアドレス宛に)送信することを、狭義のPPAPとして扱うことがある。

特徴[編集]

PPAPは、誤ったセキュリティー対策として[5]日本国内で官民問わず利用されている一方、日本国外ではほとんど見られない慣行である[2]。このPPAP方式によるメール送信を支援するためのソフトウェア製品も市販されている[6]

PPAPが使われ出す前は、パスワード付きzipファイルをメール送信し、パスワードを「送信先社名の略号」など関係者のみに通じる符丁が使われていたが、2010年代よりパスワードも同一経路で送信する手法が採られ始めた[2]

プライバシーマーク、およびISO/IEC 27000 シリーズ監査上、ファイルの暗号化に対応するための手法として広まったとされている。

批判[編集]

PPAPは、企業のセキュリティ対策を向上させるどころか、むしろ危険に晒しているとして、批判を受けている。主な批判は、次のようなものである。

  • PPAPは典型的なセキュリティシアター英語版である。セキュリティ対策をしているという安心感に不必要な費用を掛け、本来するべき対策をせず、また有用な対策に利用する費用が削られている[7]
  • 攻撃者がzipファイルを添付したメールを入手できるならば、同じ手段で送られるパスワードも入手できると考えられる。もし有用にパスワードを使用するならば、別の手段でパスワードを送るべきである[6]
  • わざわざ別のメールで指定されたパスワードを一々入力するという手間は、無駄が多い。
  • 多くの企業では、ファイルのzip化とパスワードの送信を自動で行っている。手動であればパスワード送信前に誤送信に気付くという効果があるかもしれないが、自動化されているとその効果も得られない[6]
  • 添付ファイルのzip化によって、もし添付ファイルがコンピュータウイルス等に感染していたとしても、アンチウイルスソフトウェアのシグニチャ型対策、サンドボックス型対策のどちらにも発見されず、脅威に気付くことが出来ない可能性が高まる[5]
  • パスワード付きzipファイルのパスワード解析は、2012年時点で1秒間に45億回の試行が可能であるという報告がされており、もし暗号化zipファイル単体のみが攻撃者の手に渡ったとしても、中身を盗み見られる可能性は高い。暗号化の為にパスワード付きzipファイルを使う事がそもそもセキュリティ対策として有用ではない[5]
  • スマートフォン端末等では、パスワード付きzipファイルを閲覧するために専用のアプリケーションが必要であるなど、テレワークの導入に障壁となりえる[8]

出典[編集]

  1. ^ 宮田健 (2020年6月23日). “セキュリティ的に意味なし “旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか”. ITmedia エンタープライズ. 2020年9月6日閲覧。
  2. ^ a b c 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:1「PPAPとはなにか─その発展の黒歴史─(大泰司章)」, NAID 40022288727
  3. ^ “ピコ太郎? パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの?”. ITmedia NEWS. (2020年11月24日). https://www.itmedia.co.jp/news/articles/2011/24/news114.html 2021年1月22日閲覧。 
  4. ^ JIPDECインフォメーション第187号(2019年9月25日)[1]
  5. ^ a b c 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:3「我々はなぜPPAPするようになってしまったのか(上原哲太郎)」, NAID 40022288733
  6. ^ a b c 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:2「PPAPのセキュリティ意義(楠 正憲)」, NAID 40022288730
  7. ^ 情報処理 : 情報処理学会誌 2020年7月(61巻7号、通巻664号)pp.706-734 小特集 さようなら,意味のない暗号化ZIP添付メール:0.編集にあたって -儀式セキュリティPPAP:日本のセキュリティ・ルネサンスに向けて-」, NAID 170000181999
  8. ^ 沢渡あまね「仕事ごっこ~その“あたりまえ”,いまどき必要ですか?」技術評論社、ISBN 978-4-297-10621-8、pp.61-72「白ヤギさんと黒ヤギさん、ふたたび コミュニケーションに水を差すPPAP」

関連項目[編集]

外部リンク[編集]