今さら聞けない「PPAP」のリスクと、今すぐできるセキュリティ対策

3/29(金) 6:30

　唐突ですが、日々の業務でデータをどのように送信していますか？　多くの場合は「（1）ファイルをそのまま添付して送信」「（2）パスワード付きZIPファイルをメールで送信後、別のメールでパスワードを送信」「（3）無料のファイルアップロード転送サービスで送信」の3パターンではないでしょうか。

　これらの送信方法は、全てセキュリティが盤石とはいえません。ウイルス感染や情報漏洩（ろうえい）のリスクを抱えているのです。2つ目に記載したパスワード付きZIPファイルの送信を用いている企業も多く「なぜこれが危険なの？」と思う方も多いかもしれません。しかしこの方式は「PPAP」と呼ばれており、2020年11月にデジタル改革担当相が中央省庁や内閣府・内閣官房で利用を廃止すると発表しています。

　廃止の理由は「セキュリティ対策や受け取り側の利便性の観点から適切ではない」からだとされています。日立製作所やNTTデータ、伊藤忠テクノソリューションズなどの大手企業でも「脱PPAP」を表明する企業が増えています。

　そもそもPPAPとは

P：パスワード（Password）付きZIPファイルをメールで送る

P：パスワード（Password）を別のメールで送る

A：暗号化 (Angou)

P：プロトコル（Protocol）

の頭文字を取った呼称です。PPAPのリスクやデメリットとして「メール内容が漏洩する可能性」「ZIPの暗号強度がぜい弱」「ウイルスチェックが不完全」「送信側・受信側の業務負担が大きい」という4点が挙げられます。

　PPAPは、セキュリティ業界ではもう聞き飽きるほどのキーワードである一方、その他の業界では中小企業を含め、まだ認識していない企業が多いのも事実です。

●情報漏洩は増加中　23年は前年比で約7倍に

　昨今はサイバーセキュリティサービスも進化し、企業の意識も向上していることから、データ漏洩の事故は減っていると思いがちです。しかし、東京商工リサーチの調査結果によると増加の一途をたどっています。23年の漏洩・紛失事故件数は、18年対比で2倍超の175件にものぼっているのです。さらに個人情報の漏洩は、22年から約7倍の4090万8718人と大幅に増加しています。

　日本ビジネスメール協会が23年に発表した調査結果では、1日に1人が送信するメールの平均件数は15.24通です。また、ファイルを送る手法は「ファイル添付」が93.45％という結果も出ています。日々の業務で全従業員がメールをしている回数分、リスクが存在していると思うとゾッとする実態です。これはもはや、他人事が自分事になる日も近いということです。

●WordやExcelを使った手口「Emotet」

　手口を変え、巧妙化するサイバー攻撃に使われるマルウェアの一つが「Emotet（エモテット）」です。エモテットの感染経路はメールが大半を占め、メールに添付したWordやExcelファイルに、マクロの実行を促す文面が仕込まれています。

　受信者が気付かずに「コンテンツの有効化」をクリックすると、マクロが起動してエモテットに感染します。情報処理推進機構によると、22年にウイルス感染被害として届け出があった188件のうち、8割弱に当たる145件がエモテットによる被害でした。被害に関する報道が相次いで沈静化したかに見えたエモテットの活動ですが、その後23年3月に攻撃メールの配信が観測されたことで、警視庁からも注意が呼びかけられています。

●とるべき対策とは？

　警視庁が呼びかけるエモテット対策には「OSやソフトウェアを最新の状態に保つ」「IDやパスワードを適切に管理する」「ウイルス対策ソフトを導入する」などがあります。

　その他には次のような点も重要です。

・不審なメールだけではなく、たとえ自身が送信したメールへの返信に見えるメールでも不自然な点があれば添付ファイルを開かない

・メール本文中のURLリンクはクリックしない

・メールに添付されたファイルを開いた際にマクロやセキュリティに関する警告が表示された場合には「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない

・セキュリティ警告を無視するような操作をしない

　もちろん、対策はメールだけでは不十分です。社員が会社のPCを使ってアクセスするWebサイトに対しても、悪質な詐欺サイトやウイルスサイトに接触しないような環境を作ることが必須です。セキュリティ問題は、自社だけではなく、取引先にも被害を及ぼす、信頼関係に影響するテーマだということを認識しておきましょう。

　警視庁が呼びかけた対策のうち、社員への注意喚起以外で明確に実行できるのが対策ソフトを導入することです。対策ソフトを提供しているのは外資系企業が多いのですが「専門用語やカタカナが多く分かりにくい」「システムフロー図が複雑だ」という声も聞かれます。一方、分かりやすい説明や独自の運用方法で、顧客から支持されている国内企業も存在します。さまざまな観点を踏まえ、慎重にサービスを選ぶことが重要です。

　対岸の火事が、ある日突然“自岸の火事”となる時代です。起きてから後悔しても遅く、その被害は費用だけではなく、信頼毀損（きそん）にも関わる深刻な問題です。セキュリティ領域の対策にほとんど取り組んでいない場合は、今すぐに見直すことを推奨します。

　最後までお読みいただきありがとうございました。

（佐久間俊一）