PPAP (セキュリティ)

電子メールは基本的に平文で送られる前提のシステムであるので、悪意ある者に簡単に盗聴される。

メーラー(電子メールアプリ)と電子メールサーバー間は暗号化されることが一般化してはいるが、サーバー間通信となると、今でも平文での伝送が多いようである。

そんな中で少しでも安全性を高めようという努力の一環であったのだろうが、別便にしたところで送信元と受信先が同じならメールは同じ経路を通るわけであり、同一経路を「パスワード付きZIPファイル」と「パスワード」が通るなら間にセキュリティ攻撃者(盗聴者)がいた時は簡単に情報漏洩する。

従って、「パスワード付きZIPファイル」と「パスワード」をメールにて別便で送付しても、セキュリティの向上には何ら寄与しない。

PPAPは、比較的多くの日本企業や組織がこのファイル送信法でセキュリティが強化されると信じて、内規で義務付けたり、自動化システムを導入したりしている。

しかしセキュリティの観点からは全く効果がないばかりか、煩雑な送信方法となるためにメール送信者およびメール受信者の双方にとって煩わしい作業が増え生産性を阻害する要因にしかなっていない。結果、これを揶揄するためPPAPなどと呼ばれるようになったようである。

そしてそもそも暗号化ZIPの安全性にも問題がある。最近でこそAESも使えるが、しかし今でもよく使われている古いZipCrypto方式も使われている。ZipCryptoは重大な脆弱性がある暗号化アルゴリズムであり、ZipCryptoで暗号化されたファイルなど、英数字8字程度のパスワード総当たりに現在ではパソコン1台で数分で完了する。素人でもインターネットに転がっているツールで解読できてしまうので暗号化の意味をなしていない。また、暗号化ZIPファイルは受信側MTA前後でのマルウェア対策を無効化することになるため、受信者側のセキュリティリスクを高めることにもなる。