PPAP (セキュリティ)

読み:ぴーぴーえいぴー
外語:PPAP 英語
品詞:名詞

暗号化ZIPファイルとパスワードを電子メールの別便で送ることでセキュリティを高められると日本でのみ信じられている無意味な慣習の異称。

目次

命名者はITコンサルの大泰司章@PPAP総研で、次の略であるとする。

  • 【P】asswordつきZIPファイルを送ります
  • 【P】asswordを送ります
  • 【A】n号化
  • 【P】rotocol

もちろんその大元の元ネタは、ピコ太郎のPen-Pineapple-Apple-Pen、略称PPAPである。

無意味

電子メールは基本的に平文で送られる前提のシステムであるので、悪意ある者に簡単に盗聴される。

メーラー(電子メールアプリ)と電子メールサーバー間は暗号化されることが一般化してはいるが、サーバー間通信となると、今でも平文での伝送が多いようである。

そんな中で少しでも安全性を高めようという努力の一環であったのだろうが、別便にしたところで送信元と受信先が同じならメールは同じ経路を通るわけであり、同一経路を「パスワード付きZIPファイル」と「パスワード」が通るなら間にセキュリティ攻撃者(盗聴者)がいた時は簡単に情報漏洩する。

従って、「パスワード付きZIPファイル」と「パスワード」をメールにて別便で送付しても、セキュリティの向上には何ら寄与しない。

問題点

PPAPは、比較的多くの日本企業や組織がこのファイル送信法でセキュリティが強化されると信じて、内規で義務付けたり、自動化システムを導入したりしている。

しかしセキュリティの観点からは全く効果がないばかりか、煩雑な送信方法となるためにメール送信者およびメール受信者の双方にとって煩わしい作業が増え生産性を阻害する要因にしかなっていない。結果、これを揶揄するためPPAPなどと呼ばれるようになったようである。

そしてそもそも暗号化ZIPの安全性にも問題がある。最近でこそAESも使えるが、しかし今でもよく使われている古いZipCrypto方式も使われている。ZipCryptoは重大な脆弱性がある暗号化アルゴリズムであり、ZipCryptoで暗号化されたファイルなど、英数字8字程度のパスワード総当たりに現在ではパソコン1台で数分で完了する。素人でもインターネットに転がっているツールで解読できてしまうので暗号化の意味をなしていない。また、暗号化ZIPファイルは受信側MTA前後でのマルウェア対策を無効化することになるため、受信者側のセキュリティリスクを高めることにもなる。

関連する用語
電子メール

コメントなどを投稿するフォームは、日本語対応時のみ表示されます


KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club