PPAP

なんと言うか、PPAPがダメだって話を平野のポストで初めて知って即了解するようなヤツらは、同じ勢いで根拠無く広められた「論」を信じて傾倒するタイプの、要は「詐欺免疫不全症候群」的な疾患を抱えているように思われる。

だって、何故ダメなのかについて全く理解せずに「そうだったのか！」とか言ってんだろ？

「マジか」「いま知った」平野啓一郎氏がＰＰＡＰに警鐘「セキュリティ上、意味がない」（東スポWEB） - Yahoo!ニュース　作家の平野啓一郎氏が9日、自身のX（旧ツイッター）でネットセキュリティーに警鐘を鳴らした。　同氏が適示したのは、メールで社外とファイルをやりとりする際に(1)メールでパスワード付きのZIPファ

news.yahoo.co.jp

同氏が適示したのは、メールで社外とファイルをやりとりする際に(1)メールでパスワード付きのZIPファイルを送る→(2)別のメールでパスワードを送るという「PPAP」と呼ばれる手法。サラリーマンなら1度は受け取った経験があるかもしれない。

これに平野氏はXで「未だにPPAPというのを続けている企業があるが、これがセキュリティ上、意味がないことはもう随分と前から指摘されており、止めてほしい」と呼びかけ。続けて「デジタルオンチの政府でさえ、2020年11月に止めている」と紹介した。

上記のとおり平野が示したのは、「セキュリティ上意味が無いと随分前から指摘されている」「政府ですら止めている」の２点のみであって、では何故意味が無いのか？何故止めた方が良いのか？については一切述べていない。

それでも、「平野啓一郎のポスト」「政府も止めたらしい」といったインパクトに引きずられれば、人は簡単にその示唆を受け入れるという好事例で、インスタとかで多発していると言われる「有名人の肖像を勝手に利用した詐欺広告」が、如何に効果的で如何に大問題なのかの証明だとも言える。まぁ、PPAPを止めることが直接誰かの不利益に繋がるわけではない点は、詐欺広告とは明らかに異なるけれども。

では実際、PPAPは何故「セキュリティ的に」意味が無いのか。そもそもPPAPとは何か？と言えば、別にペンパイナッポーアッポーペンではなく、ファイルをＥメールで安全に送信する目的で考案された「手順」を表す言葉である。

①「Ｐ」＝「Password」　⇒『最初にパスワード付きZIPファイルを送るよ！』

②「Ｐ」＝「Password」　⇒『続いて、そのパスワードを送るよ！』

③「Ａ」＝「ANGO」　⇒・・・という『暗号化』の

④「Ｐ」＝「Protocol」　⇒プロトコル（手順）

「『最初にパスワード付きZIPファイルを送るよ！』『続いて、そのパスワードを送るよ！』・・・という『暗号化』のプロトコル（手順）」

この説明のイニシャルをとって「ＰＰＡＰ」と呼ばれるようになったのだが、こんな面倒くさい手順を踏む目的は「Ｅメール送信時の盗聴防止」だ。Ｅメールサービスはインターネットの黎明期から存在する古いシステムで、送信経路の途中で盗聴（つまり盗み見）が可能な非常に弱い構造である。重要な情報を絶対盗聴されないように送るには暗号化が必要なんじゃね？という意味でＰＰＡＰが考案されたわけだ。「パスワード付きで暗号化されたZIPならその用途に適合するだろう」と。

ところが良く考えると、この方式は盗聴防止には全くなっていない。パスワード付きで暗号化されたファイルを送るところまでは良いのだが、続けてそのパスワード自体もＥメールで送ってしまっている。仮に「経路上で盗聴が可能」なら、暗号化されたファイルもそれを開くためのパスワードも、共に盗聴出来てしまうのだから無意味なのは当然だ。

やっているうちに誰かがそのことに気付いたのか、当初の「盗聴防止」に替えて「誤送信防止」という理屈が広がり始めた。たとえファイルを誤送信してしまっても、次のパスワードを誤送信しなければ安全が保たれると。しかし、これもまた殆ど屁理屈に過ぎない。結局２通のメールを送信するのだから、２通目の宛先に１通目の宛先をコピペして送信！とするのが人情というものである。１通目で誤送信に気付く確率は高く無い。

というわけで目的を全く達成していないのだから、わざわざこの手順を踏む意味が無いのは確実なのだが、実は「意味が無い」だけでは済まされない決定的なダメナポイントがある。それは、この方式によって受信側のユーザーが被る「心理的悪影響」だ。

パスワード付きＺＩＰの利用が一般的になると、人は無意識にその「安全性」に信頼を寄せるようになる。普段仕事でやりとりする仲間内で浸透し、特に疑うことなくパスワード付きＺＩＰを開くという「クセ」がついてしまう。これが非常にマズい。

というのも、近年メールで拡散されるマルウェアとして代表的な「Emotet（エモテット）」の存在があるからだ。Emotetに感染すると、メーラーが受信・蓄積している同僚や友人とのメールが悪用され、それら人々に返信する形で勝手にEmotet自身を送り付けてしまう。その際、Emotetはパスワード付きZIPファイルを利用して自身を暗号化し、いかにも「仲間どうしの安全なファイルのやりとり」であるかのように偽装する。普段からＰＰＡＰをやってるユーザーは安心してそれを開き、感染してしまう。つまり、EmotetはＰＰＡＰ実践者の「心理的安心感」を上手いこと逆手に取っているというわけだ。

セキュリティを確保するためにやっていたはずのＰＰＡＰが、まったく意味無いどころか逆に「心理的に悪用」されてしまってるのだから何をかいわんやである。要するに、ＰＰＡＰを止めた方が良い最大の理由は、「やっているうちに変なクセがついてしまい、逆にワキが甘くなるから。」なのだ。

もしも「ＰＰＡＰはもう止めよう」と思うなら、平野が言うからとか政府も止めたからではなく、上記のようなことをちゃんと知った上で止めて欲しい。でなければそれは、「ＰＰＡＰを始めよう」と思った時と同じような行為になってしまうのだからな。結局一番ダメなのは「人の言うことを疑わない」こと、「鵜呑みにする」ことなのだ。うまくＰＰＡＰを止められたとしても「詐欺免疫不全症候群」を治療出来ないのであれば、セキュリティの実践上は全く意味がないのだよ。