平井大臣も断言「パスワード付きZIPファイルの添付は無意味！」ルールを見直し正しい運用をはじめよう。

ウィズコロナの時代、誤ったデジタルの常識は改めよう

危ない古いデジタルの常識を捨てましょう

進歩の早いデジタルの世界では、かつての常識もすぐに古くなり、それどころか古い常識がかえって危険を招き寄せることすらあります。

たとえば

• パスワードは8文字以上にして定期的に変更しよう
• 鍵マーク(SSL)がついたサイトは安全です

は、すでにに誤っている危険な常識です。

詳しくは当社ブログでぜひご確認ください。

ブログ内の関連記事(新しいウィンドウで開きます)

パスワード強度の新常識とは？～8文字(8桁)のパスワードは今では危険

「パスワードは文字種を組み合わせ8文字(8桁)以上」「時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足！」、また「強いパスワードを設定したら二度と変更の必要なし！」。パス[…]

ブログ内の関連記事(新しいウィンドウで開きます)

「鍵マークのSSLは安全」は今では古い非常識！～httpとhttpsの違いなど誤ったITの常識を見直そう

「鍵のマークがついた(点灯した)httpsのサイトは安全」は、まちがった危険な考え方です。SSLもhttpsも今では詐欺サイトでも使われているため全く信用できません。「添付ファイルは暗号化してパスワードを送信｣も否定されました。ITやデ[…]

「パスワード付きZIPファイルのメール添付」も危ない古い常識です

メールの安全性を高めるためにしばしは行われている「パスワード付きZIPファイルのメール添付=PPAP方式」。

すなわち

1. 添付するファイルを､適当なパスワードを使って暗号化したZIPファイルに変換する。
2. ZIPファイルをメールに添付して送信する。
3. 続いてそのZIPファイルのパスワードをメール送信する。

という、多くの会社や組織で今も行われている作業については、「セキュリティ対策」として企業のセキュリティ基準にも明記されているため、「効果あるのかな？」と思いつつも、毎日行っている方も多いでしょう。

しかしこの「パスワード付きZIPファイルの添付(PPAP方式)」は今では無意味なだけでなく、かえって危険を招くこともあるのです！

平井デジタル改革担当相の「パスワード付きZIPファイル廃止」の会見

廃止のきっかけは「デジタル改革アイデアボックスへの提案」

2020年11月17日の平井卓也デジタル改革担当相の定例会見において、

方針が発表されました。

廃止の理由としては、

• zipファイルのパスワードの扱いは、セキュリティレベルを担保するための暗号化ではない
• 押印廃止と同様に「今までやってきたからみんなやって」ことにすぎない。
• スマホでメール内容を確認できないのも致命的

とのことからでした。

「今後もアイデアボックスでの支持が多いものはすぐに取り上げ対処したい」とのことです。

また平井卓也デジタル改革担当相の11月20日の会見では「パスワード付きzipファイルに代わる新しい手段については、デジタル改革アイデアボックスで募集したい」と述べました。

霞が関でパスワード付きzipファイルを廃止へ　平井デジタル相

平井卓也デジタル改革担当相が中央省庁の職員が文書データの送信で使用するパスワード付きzipファイルを廃止する方針であると明らかにした。「デジタル改革アイデアボックス」の意見を採用した。

ITmedia NEWS

 

https://www.itmedia.co.jp/news/articles/2011/17/news150.html

“PPAP”の代替手段は「アイデアボックス」で募集へ　平井デジタル相

平井卓也デジタル改革担当相がメールでパスワード付きファイルを送り、パスワードを別送する方法（いわゆるPPAP）の代替手段について、政府の意見募集サイト「デジタル改革アイデアボックス」で募集する方針を示した。

ITmedia NEWS

 

https://www.itmedia.co.jp/news/articles/2011/20/news091.html

11月26日から「パスワード付きZIPファイル添付(PPAP方式)は廃止」と発表

デジタル庁は動きが速いです。

平井デジタル改革担当相、11月24日の会見で

• 内閣府、内閣官房では、メールでパスワード付き添付ファイルを送り、パスワードを後から送る方法（いわゆるPPAP）は、26日から廃止する。
• PPAPはセキュリティ対策や受け取った側の利便性から適切ではない。
• 代案としては民間のストレージサービスのファイル共有機能を使う。
• 政府だけでなく民間にも影響のあるので、民間の対応も注視したい。今後どのようなセキュリティ策をとるべきか、アイデアボックスに送って欲しい

と発表しました。

これまでの政府の動きにはなかった迅速な対応は高く評価できます。

パスワード付きzip、内閣府と内閣官房で26日から廃止へ　外部ストレージサービス活用　平井デジタル相

平井卓也デジタル改革担当相がメールでパスワード付きファイルを送り、パスワードを別送する方法（いわゆるPPAP）について、11月26日から内閣府、内閣官房で廃止すると発表した。今後、外部ストレージサービスなどを活用し、ファイルを外部と共有する。

ITmedia NEWS

 

https://www.itmedia.co.jp/news/articles/2011/24/news097.html

PPAP方式とは？

「PPAP方式」とは､「ピコ太郎のペンパイナッポーアッポーペン」ではありません(^0^)。

以下の「パスワード付きZIPファイルを送る際の段取りの頭文字」をつなげて、ピコ太郎がヒットしたときに、ややからかった意味を込めて命名された造語です。

ITコンサルタントの大泰司章氏によって命名されましたそうです。

■「PPAP (セキュリティ)」とは？(Wikipedia)

「PPAPを考えた経緯」や「なぜ明らかに意味のないPPAP方式が普及したのか？」については以下のIT Meda様と、PPAPの名付け親でFacebookで「くたばれPPAP！」グループを主催している大泰司章氏との対談記事にまとめられています。

日本のIT業界の問題に気がつく、実に興味深い内容ですので、ぜひご覧ください。

「Pマーク取得に必要だから」は都市伝説？　“PPAP”をめぐる謎を、名付け親に聞いた

霞が関で廃止の方針が固まった「PPAP」。多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれていますが、なぜPPAPは筋がよくないのか。名付け親に聞きました。

ITmedia ビジネスオンライン

 

https://www.itmedia.co.jp/business/articles/2012/15/news007.html

「パスワード付きZIPファイル」の添付(PPAP)はなぜ廃止されなければならないのか？

なぜパスワード付きZIPファイルが使われるようになったか？

思い起こすと、「パスワード付きZIPファイル」この10年ほど､メールの誤送信や漏えいなどにより企業の情報セキュリティが厳しく問われるようになって広まった習慣と思われます。

電子メールは便利ですが、基本原理は30年以上前に考えられた古い規格で、現在のように機密も含めた膨大なやりとりが発生することを想定して作られた規格ではありません。

したがって比較的容易に「情報の盗み見」「なりすまし」「改ざん」ができてしまうため、機密情報を送るには適していないのです。

セキュリティー確保するための対策としては「PGPやS／MIME」といった安全なメール暗号化方式が発表されましたが、現行の簡易なメールの方式がいち早く普及してしまい、対策として追いつかなかったのが現状です。

そこで代替方法として考えられたのが「パスワード付きZIPファイル」なのです。

少し考えても効果があるとは思えませんが、なぜか情報漏えい防止に加えて「多発した誤送信を防ぐ効果もある」とされて一般化してしまいました。

やめてしまった方が良い理由は以下の通りです。

廃止すべき理由1．「セキュリティ的に全く無意味な作業のため」

添付ファイルを暗号化することはセキュリティ保護としては有効です。
そして暗号を解除するパスワードは、メール以外の方法で受信者に受け渡すことができて初めて安全が担保されます。

ところが「同じメールで続けてパスワードを送る」ことは、そもそも「メールは盗聴される可能性があるので危ない」以上、何の意味もないことは誰が考えても分かります。

また、ZIPファイルのパスワードは何度でも再入力ができるため、「時間をかけて総当たりすればパスワードにたどり着ける」という大きな欠陥もありました。

しかし企業のセキュリティ意識が高まりセキュリティ基準を定めて「Pマークを取得」することが当たり前の時代になりましたが、正式なメールの暗号化方式PGPやS／MIME方式のメールシステムを整備するのはとても大変でした。

そこで妥協案として誰かが考え出した「パスワード付きZIPファイルを添付(PPAP)」が安易に採用され、Pマークの認証機関でも認められるようになってしまったため、この方法が広がってしまったのでしょう。

メールにつきもののミス「誤送信対策としても有効である」と言われ推奨されてしまいました。

しかし誤送信を防ぐ効果にしても、メールアドレスをコピペして続けて送信する人が多いはずですから、誤送信防止効果があるとはとうてい思えません。

以下の書籍にその顛末が詳しく書かれています。ご関心のある方はぜひご一読ください。

Pマークの認証団体も「PPAP方式は推奨していない」と見解

また平井デジタル改革担当相の会見を受けて、Pマークの認証団体である一般財団法人日本情報経済社会推進協会（JIPDEC）は「パスワード付きファイルのメール送信は以前から推奨していない」と見解を発表しました。

しかしそれならば「PPAPは意味がないので正しい方法を指導する」のがPマークの本来の役割と思います。

それをこれまで放置し、ユーザーに無意味な作業を強いていたわけですから、高い認定料をとりながらまったく無責任な言い訳とあきれてしまいます。

Pマーク取得と共にセキュリティ基準にPPTAを取り入れた組織はたくさんあります。

PPTAを悪用するマルウェアも蔓延している今、JIPDECはすぐに指導して撤廃していただきたいものです。

制度関連のNEWS｜メール添付のファイル送信について｜プライバシーマーク制度｜一般財団法人日本情報経...

メール添付のファイル送信について｜プライバシーマーク制度は、事業者の個人情報の取扱いが適切であるかを評価し、基準に適合した事業者に”プライバシーマーク”の使用を認める制度です。

privacymark.jp

 

https://privacymark.jp/news/system/2020/1118.html

廃止すべき理由2．「添付ファイルがセキュリティ検査を迂回(すり抜ける)リスクがある」

パスワード付で暗号化された添付ファイルはパスワードがないと開くことができません。

そのためせっかく企業や家庭が導入している、メールが届く時のセキュリティ対策ツールによる検査ができず、不正な添付ファイルがそのまま届く危険性が高いです。

現在EMOTETとかIcedIDという凶悪なマルウェアが猛威を振るっています。

これらのマルウェアは添付ファイルに含まれていて、ユーザーに開かせる事で感染しますが、事前のセキュリティ検査をすり抜けるため「パスワード付きZIPファイル」で送られることが多くなっています。

マルウェアの被害が多い欧米では「パスワード付きZIPファイル」が添付されたメールは「危険」と見なしてブロック(受け取り拒否)されることも普通になってきました。

freee、メールによるパスワード付きファイルの受信を廃止 | プレスリリース | corp.freee.co.jp

　freee株式会社は、2020年12月1日（火）から、原則としてメールによるパスワード付きファイルの受信を廃止させていただきます。パートナー及びお取引先の皆様にはご理解とご協力のほどよろしくお願いいたします。 ■

freee株式会社 コーポレートサイト

 

https://corp.freee.co.jp/news/filepassword_abolished.html

今やリスク対策としても、「パスワード付きZIPファイル」は使うべきではありません！

廃止すべき理由3．「業務効率を大きく下げる」

添付ファイルを暗号化したZIPに変換し、パスワードを貼り付けて再送するという手間は大きなものです。受信者にも同様の手間をかけさせ、全く意味のない作業で業務効率を著しく下げてしまいます。

また平井大臣が会見で触れていたように、一般的なスマホでは「パスワード付きZIPファイル」をひらくことは､かなり困難な作業になってしまいます。

今のスマホはロックなどしっかりとセキュリティ対策に沿った設定をしておけば、機密が漏えいするリスクは少ないにもかかわらず、情報がすぐに閲覧できないのは大きな問題です。

ブログ内の関連記事(新しいウィンドウで開きます)

絶対必要な画面とSIMカード2つのロック～iPhone／Android別スマホの安全対策は？ その1

今やスマホはあなた本人を確認の鍵でもあります。もしもスマホをなくした時、悪用されたり、転売されないように備えるにはどうしたら良いか？先日「世界一受けたい授業」でも取り上げられた最重要ポイントが「スマホの画面とSIMカードの2つのロックの仕方[…]

パスワード付きZIPファイルに変わるデータ送信の方法は？

１．ZIPなどせずにそのまま添付ファイルを送る

乱暴なようですが、上記でご説明したとおり、「パスワード付きZIPファイルの添付」方式ではセキュリティ対策にはなりません。

「パスワード付きZIPファイル」を悪用するEMOTETやIcedIDといったマルウェアが流行している現在、せめて「セキュリティ対策ツールによる検査ができる普通の添付ファイル」の方が、むしろ双方にとってまだ安全性が高いという結論になります。

また「パスワード付きZIPファイル」が添付されたメールをブロック(受け取り拒否)して届かないようにしてしまう企業やサービスも増えてきましたので、機密性が低いデータはそのまま送った方が安全確実に届きます。

機密性の高いデータは添付ファイルで送らず、以下の3．以下の方法で送りましょう。

２．「パスワード付きZIPファイルの添付」のパスワードを別の方法で知らせる

どうしても添付ファイルを安全に送りたいときは、この方法しかありません。

「SMS」や「電話」「チャット」など、必ずメールとは異なる手段でパスワードを伝えましょう。

ただしこの頃増えてきた「パスワード付きZIPファイル」が添付されたメールをブロックしている企業やサービスでは使えません。

3．S/MIME方式のメールシステムを利用する

本来は送信者と受信者双方に「S/MIME方式に対応したメールシステムを導入する」ことが最も確実な安全で手軽な対策です。
S/MIME方式に対応したメールソフトを使うと「暗号化」のボタンを押すだけで、特定の相手以外の人には絶対に読まれないメールが作成できます。

しかしS/MIME方式を使うためには「双方が対応したメールソフトを使い、必要な設定をしておく」などの多くの手間とコストがかかります。

また現在普及している、一般的なGmailのようなWEBメールはS/MIME方式に対応していないため、なかなか広まりません。

S/MIMEとは？メールへの電子署名と暗号化の仕組み｜GMOグローバルサイン【公式】

S/MIMEの基本、『メールの暗号化』『メールへの電子署名』の仕組みと、電子署名付きメールの確認方法、改ざん検知の仕組みについての解説ページ。S/MIMEの方式を用いるには、送信者と受信者側との両方がS/MIMEに対応する電子メールソフトを使用している必要があります。

GMOグローバルサイン株式会社のSSL・電子証明書サービスサイト

 

https://jp.globalsign.com/service/clientcert/about_smime.html

4．チャットサービスのファイル送信機能を利用する

SNSのメッセージサービスに付属しているファイル送信は確実に相手を指定してから送信できますので、誤送信の心配はほぼなくなります。

ChatworkやLINE Work、Teams、Slackといったビジネス用のチャットサービスなら一定の暗号化もされていますので、なお安心でしょう。

5．オンラインのファイル送信サービスを活用

11月26日から政府もPPAPの代案として使うことになったと言われる、現実的に最も簡単な方法が、良く使われているGoogle Drive、MicrosoftのOneDrive、Dropboxなどのオンラインストレージが提供しているファイル送信サービスを使う方法です。

一般的には「データがダウンロードできる推測不能な複雑なURL」を生成し、URLをメールで相手に送ります。

URLを受け取った受信者はURLをクリックするとダウンロードできます。

メールアドレスを間違えて送ってしまって漏えいする危険がありますが、送りっぱなしの添付ファイルと異なり、ファイル送信サービスでは｢ダウンロードできる期間｣を定めたり、後から「ダウンロードのURLを無効化」にすることもできますので、安全性はずっと高まります。

ファイル送信に特化したサービスもありますが、企業組織で契約している、Google Drive、MicrosoftのOneDrive、Dropboxなどクラウドサービスがあるなら、その中のファイル送信機能を使うことが最適でしょう。

まとめ：
デジタルについては常に新しく正しい知識を知るようにしましょう

これまで当然と思ってやってきたことを切り変えるのはなかなか大変です。
しかし「パスワード付きZIPファイル」については、だれもが「こんな事をやっていて何の意味があるんだろう」と思いながら、長く続けていました。

しかもそのために、本来対応すべきS/MIME方式のような正しい規格の導入が遅れ、本質的な議論や対策を講じることができず、日々多くのサイバー犯罪を引き起こしています。

「形にとらわれて本質を見失う」これこそ日本のＩＴやデジタル社会に共通の問題点でしょう。

「ウィズコロナの時代」ますますデジタル化の波が押し寄せてきます。
正しい知識を元に合理的で安全なデジタル活用を進めましょう。

当ブログもそのため、皆様のお役に立つ記事をご案内してまいります。