添付ファイルとパスワード別送はセキュリティー対策の効果薄と判断

北海道新聞

メールに暗号化したファイルを添付し、そのパスワードを別のメールで送る方式（PPAP）を廃止し、受け取りも制限する動きが道内の法人や官公庁でも出てきた。暗号化したファイルとパスワードを同じ経路で送るためセキュリティー対策としての効果が薄い上、コンピューターウイルスをまん延させる温床になりかねないからだ。ITセキュリティー会社は「ファイルをウェブからダウンロードして受け渡すなど代替手段を考えてほしい」と訴えている。

コープさっぽろは昨年7月から暗号化されたファイルの受け取りを制限している。メールの開封前に削除され、送信者には暗号化せずに再送するよう促すメールが自動で送信される。狙いはセキュリティー対策の強化だ。添付ファイルは通常、開封前にウイルス対策ソフトがマルウェア（悪意のあるソフト）の有無を検査する。だが暗号化されていると中身を確認できず、すり抜けてしまう。パスワードも同じ経路のメールで送ると、簡単に盗み見られる恐れもある。

フリーマーケットアプリ運営のメルカリの元執行役員最高情報責任者（CIO）で、現在はコープCIOの長谷川秀樹氏は「対策として当たり前のことをやっているつもりだ」と話す。 　道も月内にPPAPをやめ、受け取りも拒否する方針。メールソフトの仕組み上、PPAPでしか送れない送信者には「道庁専用の（インターネット上にデータを保存する）オンラインストレージに送ってもらうといった形で対応する」（情報政策課）という。 　全国的には、20年11月に内閣府と内閣官房が脱PPAPを表明。ソフトバンクグループも今月廃止した。

背景にはマルウエア「Emotet」（エモテット）の感染拡大がある。パソコン内のデータを盗み、取引先など実在の人物をかたる巧妙なメールを送って感染を拡大させる。PPAPはエモテットを広げる一因とされ、日本情報経済社会推進協会（東京）は「PPAPを使い続けると取引先を危険にさらす」と指摘する。