ニュース 2020.12.08 クラウド会計freee パスワード付きファイルの受信廃止へ

パスワード付きメールを受信した場合、添付ファイルは、自動的にメールサーバーから削除される。メール本文は維持したまま受信し、ファイルが削除された旨が本文に追記されるという。

パスワード付きzipファイルは、暗号化されていることから、セキュリティの検知をすり抜けてしまう確率が高い。freeeは、添付ファイルを通じて感染するマルウェア「Emotet」などを防ぎたいとした。

zipファイルの送信については、11月17日、平井卓也デジタル改革相が定例会見でも、まずは内閣府や内閣官房で廃止に向けた取り組みを始め、他省庁については利用実態を調査すると発表している。

この方式は、皮肉を込めて「PPAP」と呼ばれており、「Password付きZIP暗号化ファイルを送ります」－「Passwordを送ります」「Aん号化（暗号化）」「Protocol（プロトコル）」を略したもの。

PPAP方式でのファイル送信は、日本国内の企業では広く利用されているため、送信、または受信した経験がある人も多いだろう。

この手法は、第1段階として送信ファイルをZIP形式に暗号化し、次の段階で解凍パスワードを別送する。問題は、サーバー攻撃者がZIPファイルを入手できるケースでは、同じ通信方式で送るパスワードも流出していると考えられるいうことだ。

平井デジタル改革担当相は会見にて、このPPAP方式について「セキュリティレベルを担保するための暗号化ではない」とした。

諸外国をみても、ビジネスレベルで導入されているケースは日本以外に見当たらず、少なくとも先進各国はPPAP方式など導入していない。

エンジニアなど技術に詳しい人々の間では、PPAP方式の無意味さは普段の会話にものぼるほど知られている。しかし、組織間で慣例として使われている作法のようなものとなっており、止めるに止められないといった状況が続いていたとみられる。

このような、慣例ゆえに変えられない課題は、企業内に山積しているのではないだろうか。

【関連リンク】

・freee、メールによるパスワード付きファイルの受信を廃止（PR TIMES）
https://prtimes.jp/main/html/rd/p/000000515.000006428.html

・フリー、パスワード付きファイル削除　標的型メール対策（日本経済新聞）
https://www.nikkei.com/article/DGXMZO66373010Y0A111C2XY0000/

TEXT：セキュリティ通信 編集部
PHOTO：iStock