メール添付の“パスワード別送”、まだやってますか?
~暗号ZIP+パスワードはもう古い!?~
こんにちは!ふくい産業支援センター、IT研修担当の龍田です。
仕事でも学校でもよく見かける、
「ファイルを暗号ZIPにしてメール添付 → パスワードだけ別メールで送る」やり方。
実はこれ、いま“古い方法”と言われはじめています。
「え、昔から定番じゃなかった?」
そんなイメージありますよね。私もそう思っていました。
でも調べてみると、安全どころか不便で、時には危険になることもあるようです。
(※セキュリティ意識向上のための情報です。転載はご遠慮ください)
■ そもそも“暗号ZIP+別送”(PPAP)とは?
1)ファイルをZIP(圧縮)してパスワードをかける
2)ZIPをメールに添付して送る
3)パスワードだけ別のメールで送る
■ なぜ“もう古い”と言われるのか
【理由1】実はあまり安全じゃない
メールを盗み見できる環境では「ZIPのメール」も「パスワードのメール」も両方見られる可能性があります。
鍵付きの手紙を送っても、鍵も同じポストに入っているような状態です。
【理由2】ウイルスチェックができない
暗号化すると、メールサーバーのウイルス検査が中身を確認できません。
感染に気づきにくい/受信側でブロックされる/開くのが怖い…など逆にリスクに。
【理由3】とにかく手間が多い
ZIP化、PW作成、別送、受信側は毎回PW入力。スマホだと開けないこともあり、非効率です。
■ 最近の代替案(より安全・便利)
①クラウドの共有リンク(OneDrive、Googleドライブ、Dropbox、Boxなど)
・アクセスできる人を限定/権限設定/有効期限/DL禁止 などが可能
②メールの「リンク化+転送制御」(OutlookやGmail等)
・この人だけOK/転送されたら開けない/組織外は閲覧禁止 など
③「ファイル」ではなく「通信」を守る
https通信、多要素認証(2段階認証)、クラウド側のアクセス制御…という考え方へ。
■ 参考リンク
・内閣府:PPAP廃止の方針(2020/11/24)
https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html
・IPA:パスワード付きZIPを使った攻撃例(Emotet)
https://www.ipa.go.jp/security/emotet/situation/emotet-situation-04.html
・サイバーソリューションズ:PPAPの問題点と代替案
https://www.cybersolutions.co.jp/product/securitysuite/cmss-blog/25383/
「慣習だから続けていた」だけなら、見直しも検討を。
本当に守るべきは“手順”ではなく“目的”。この投稿がきっかけになればうれしいです。
▽研修スケジュール:https://www.fisc.jp/pckouza/
▽無料相談:https://www.fukui-dxlab.com/consultation/regular-consultation/