民間も止めてね・・・
ITmediaの記事に、 パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相 てのがありました。
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表したそうです。
記事によると・・・
内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。
また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワードを通知することも検討しているという。
だそうです。パスワード付きZIPファイルのメール添付については、以前からその有用性について疑問を呈されていたところですが、政府がスピーディー且つ積極的に廃止することで民間でもこの”風習”が廃止されることを願っています。
ただ、一般になぜこの「PPAP」を廃止することが必要なのかということへの理解が今ひとつな部分もあると思いますので、ここで「PPAP」を廃止する意味を考えてみたいと思います。
まず1つ目ですが、PPAPはパスワード付きZIPファイルを添付したメールの後に、パスワードを別途メールで送るわけですが、メールという同じ手段でファイルもパスワードも送るので、仮に攻撃者が添付ファイルを入手できるのであれば、当然パスワードも入手できるわけで、手間ばかりかかって何の意味もないことが挙げられます。
もしこの方法を継続するのであれば、ZIPファイルを添付したメールを送付した後に、送付先の相手のスマホのSMSにパスワードを送る(相手のスマホの電話番号が分かっていることが前提ですが)のであれば、ある程度セキュリティは担保されると思います。
次に、パスワード付きZIPファイルはセキュリティソフトのスキャンをすり抜けてしまうために、メールサーバで行われているセキュリティチェックが意味をなさず、ウイルスの蔓延に繋がりかねないということが挙げられます。
実際に、Emotetというウイルスはパスワード付きZIPファイルから感染する例も多数報告されており、パスワード付きZIPファイルの添付が感染を広げている事例となっています。
最後は、記事中でも触れられていますが、メールの添付ファイル以外の共有方法がたくさんあるということです。記事中では、Dropbox が例に挙げられていますが、DropboxでなくともWindows10ではデフォで利用されているマイクロソフトの OneDrive でもいいわけです。また、宅ふぁいる便亡き後にかなり利用されているであろう firestorage なども利用できます。firestorageは登録も必要なく、サイトに行ってファイル(1ファイル2GBまで)を指定するだけで無料で利用できますので、非常に手軽です。
この「PPAP」については、政府だけでなく民間でもかなり利用されていますので、この機会に民間でも廃止の方向で考えていただきたいものです。
また、「PPAP」をご利用の方がいらっしゃいましたら、この機会にクラウドストレージや民間のファイル共有サービスの利用などをご検討になってみてはいかがでしょう?