道庁や道内企業で広がるPPAP廃止

添付ファイルとパスワード別送はセキュリティー対策の効果薄と判断

北海道新聞

メールに暗号化したファイルを添付し、そのパスワードを別のメールで送る方式(PPAP)を廃止し、受け取りも制限する動きが道内の法人や官公庁でも出てきた。暗号化したファイルとパスワードを同じ経路で送るためセキュリティー対策としての効果が薄い上、コンピューターウイルスをまん延させる温床になりかねないからだ。ITセキュリティー会社は「ファイルをウェブからダウンロードして受け渡すなど代替手段を考えてほしい」と訴えている。

コープさっぽろは昨年7月から暗号化されたファイルの受け取りを制限している。メールの開封前に削除され、送信者には暗号化せずに再送するよう促すメールが自動で送信される。狙いはセキュリティー対策の強化だ。添付ファイルは通常、開封前にウイルス対策ソフトがマルウェア(悪意のあるソフト)の有無を検査する。だが暗号化されていると中身を確認できず、すり抜けてしまう。パスワードも同じ経路のメールで送ると、簡単に盗み見られる恐れもある。

フリーマーケットアプリ運営のメルカリの元執行役員最高情報責任者(CIO)で、現在はコープCIOの長谷川秀樹氏は「対策として当たり前のことをやっているつもりだ」と話す。  道も月内にPPAPをやめ、受け取りも拒否する方針。メールソフトの仕組み上、PPAPでしか送れない送信者には「道庁専用の(インターネット上にデータを保存する)オンラインストレージに送ってもらうといった形で対応する」(情報政策課)という。  全国的には、20年11月に内閣府と内閣官房が脱PPAPを表明。ソフトバンクグループも今月廃止した。

背景にはマルウエア「Emotet」(エモテット)の感染拡大がある。パソコン内のデータを盗み、取引先など実在の人物をかたる巧妙なメールを送って感染を拡大させる。PPAPはエモテットを広げる一因とされ、日本情報経済社会推進協会(東京)は「PPAPを使い続けると取引先を危険にさらす」と指摘する。