基礎知識 広告

パスワード付ZIPファイルをメールで送る時に利用するPPAPというプロトコルについて少し解説してみる

 
記事内に商品プロモーションを含む場合があります

PPAPと言えばペンにリンゴやパイナップルを突き刺す歌・・・というのが普通の人の考え方ですが、実は情報技術の世界ではPPAPというプロトコルが存在します。

ここはエンジニアやプログラマ向けのブログなのでピコ太郎さんの歌について語ることはしませんが、PPAPは名前も知らずに普段の業務で利用している人が多いため、名前を聞いて「そういう名前がついていたのか」と思って頂けると幸いです。

PPAPというプロトコルは一体何なのか?

PPAPは

P:パスワード付ZIPファイルを送る
P:パスワードを別メールで送る
A:暗号化
P:プロトコル

の略で、メールでパスワード付きZIPを送る時に利用されるものです。

PPAPは以下の手順でメールを送信します。

1.パスワード付きzipファイルを送信者が作成する

最初にメール送信者がメール送信が必要な書類などをパスワード付きZIPファイルに圧縮します。

この際、圧縮ファイルの作成に利用するソフトは何でも構いません。

ZIP形式の圧縮ファイルにパスワードを設定して、パスワード付きZIPファイルを作成すればよいです。

2.ZIPファイルをメールに添付して送信

1.で生成したパスワード付きのZIPファイルをメールに添付して送付します。

このメールにはパスワードを書かず、ただ「××に関する〇〇の資料を送付いたします」などの言葉を添えて、ZIPファイルを添付して送付します。

簡単に書くと以下のようなメールになります。

株式会社〇〇 ××部 △△様

お世話になっております。
株式会社□□の◇◇と申します。

☆☆の件について資料を用意しましたので送付いたします。

以上よろしくお願いいたします。

3.パスワードを別メールで送付する

パスワード付きのZIPファイルをメールで送付したら、別メールにパスワードを記載して、送付先の相手にパスワードを通知します。

株式会社〇〇 ××部 △△様

お世話になっております。
株式会社□□の◇◇と申します。

先ほど送付したメールの添付ファイルのパスワードは*********になります。

以上よろしくお願いいたします。

こんな感じの内容をメールで送付します。

PPAPを使うことの問題点

パスワード付きZIPファイルをPPAPで送ることはセキュリティが向上しているように見えるのですが、実際はそんなことはなく、どちらのメールも攻撃者が確認できれば、パスワードを解かれて、ファイルを解凍できてしまいます

そのため、メールサーバーに脆弱性があれば、PPAPを使うことでセキュリティの問題を解決することが出来ません。

Emotetという差出人からメールを偽って添付ファイルを開かせるウイルスも存在するため、ウイルスチェックをどうするのかの懸念もあります。


PPAPを慣習的に使っている企業も多く、セキュリティ向上のために利用できると思っている企業も多いのですが、実際はそんなことはありません

特に「Re:」のタイトルでパスワードを送ってしまうと、どのメールのパスワードかが攻撃者に簡単に分かってしまうので、ほとんど意味がありません。

メールを2通送信する手間がかかるということもあり、運用の手間も多くなります。

そのため、PPAPを使うことでセキュリティ向上を期待するのは、労力に見合っていないし、脆弱性が残るため、セキュリティ向上はあまり期待できません。

PPAPのセキュリティ上の問題点を対策する方法

PPAPのセキュリティ上の問題点を解決する方法として、そもそもパスワード付きZIPファイルをメールで送らないという方法があります。

GoogleドライブやDropboxなどのファイル共有サービス、ファイルサーバーを介してのやり取りなどが対策として挙げられます。

特にファイル共有サービスやファイルサーバーだと、関係者以外は入れない環境でファイルのやり取りをするので、ログイン情報を知っている人だけがファイルを取得できるように出来るためセキュリティが向上します

そして、パスワード付きZIPファイルを置く運用はそのままにして、確認して欲しい人にのみパスワードを知らせることで、PPAPを使うよりも安全にファイルを渡すことが出来ます(パスワードを知らせる手段は必ずしもメールである必要もありません)。

この方法の利点はもう一つあって、メールでは送付出来ないサイズのファイルも取り扱えるということ。

つまり設計書などの成果物を一括で客先に提出したり、要件定義に必要な資料を一括で頂くことをわざわざメールのやり取りをしなくて対応できるわけですね。

なので、PPAPは脆弱性の残る古いセキュリティ対策として認識しておき、ファイルサーバーやGoogleドライブやDropboxなどのファイル共有サービスを介してファイルのやり取りをすることが、より安全なファイルのやり取り方法になると覚えておいた方がいいでしょう。

今回の記事はここまでとなります。
また次の記事でお会いしましょう。

初級編 基礎知識 情報セキュリティ
関連記事