今話題のPPAP問題とは？廃止が進む理由と代替案

2021年1月、「PPAP」という言葉がTwitterでトレンド入りしました。PPAPはメールでパスワード付きZIPファイルを送信する際の手法ですが、実はセキュリティ面での危険性が叫ばれています。

本記事ではPPAPの概要を解説したうえで、危険性や代替案を紹介します。

PPAPとは「パスワード付きZIPとパスワードの2回送信」

PPAPは以下の略です。

• P：パスワード付きZIPファイルを送ります
• P：パスワード送ります
• A：暗号化
• P：プロトコル

まずはパスワード付きZIPファイルをメールで送り、その後別のメールでパスワードを知らせる手法です。添付ファイルの盗み見や誤送信対策として、多くの企業で採用されていました。

PPAPの廃止が急速に進んでいる

PPAPがネット上で話題になったきっかけは、大手IT企業の日立製作所が廃止の方針を発表したことです。実は日立製作所の例よりも前からPPAP廃止の動きはあり、2020年11月には中央省庁も廃止の方針を明らかにしています。以前までは政府や民間企業にも根付いていたPPAPの文化ですが、少しずつ姿を消しつつあるのが現状です。

PPAPが危険な理由

PPAPはセキリュティ性の観点から、その危険性が叫ばれています。そもそもパスワード付きZIPとパスワードの2回送信は、セキュリティ性を強化できる手法ではないからです。

たとえばパスワード付きZIPファイルが外部からの攻撃で窃取された場合、同じ通信経路で送信しているパスワードも容易に窃取されてしまいます。またZIPファイルに付けるパスワード自体も脆弱性が指摘されており、簡易なパスワードだと専用ツールで簡単に解析できてしまいます。

一昔前までは多くの場所で採用されていたPPAPですが、現代のネット社会では「危険なファイル送信方法」として認識しておくべきです。

PPAPの代替案

PPAPの代替案として、以下の2つの手法が挙げられます。

クラウドストレージを利用したファイル共有

「Dropbox」や「OneDrive」などのクラウドストレージにファイルをアップロードし、相手と共有します。クラウドストレージはセキュリティ性が担保されており、かつ共有する相手の選択が可能です。

近年は無料で大容量を利用できるクラウドストレージが増えているため、今後はPPAPに変わるファイル共有方法として普及するでしょう。

強度の高いパスワードを設定したうえで、パスワードをメール以外の通信経路で連絡

パスワードをメールでは送信せず、電話やチャットサービスなどで伝える方法もあります。ZIPファイルとパスワードの通信経路を別々とすることで、万が一メールサーバーが攻撃を受けた際も、ZIPファイルの中身が漏洩することがありません。

ただしZIPファイルのパスワード自体を複雑にしておくのは必須です。第三者が簡単に解析できてしまうようなパスワードでは意味がありません。10桁以上の文字数で、かつ大文字・小文字・数字・記号などをランダムに含むパスワードを設定しましょう。

【まとめ】PPAPを使っているなら要注意

政府や大手企業が動き出したこともあり、PPAP廃止の動きは今後ますます強まるはずです。クラウドストレージによる手軽なファイル共有が普及した今、そもそもPPAPを使うメリットはほとんどありません。もし今もPPAPを使っているのであれば、早急に別のファイル共有方法を検討しましょう。