はじめに
ビジネスシーンで頻繁に用いられてきた「PPAP方式」は、パスワード付きZIPファイルをメールで送信し、別のメールでパスワードを送る手法です。一見するとセキュリティ対策として有効に思われがちですが、近年、その脆弱性や業務効率の低下が問題視されています。
PPAPについて、詳しく知りたい方はこちらのブログ記事「PPAPとは?その仕組みと問題点、代替策まで徹底解説」もぜひご覧ください。
本記事では、PPAP方式の概要から、そのセキュリティ上の問題点、実際の事例、そして安全な代替策までを詳しく解説します。
PPAPってなにー?これね、添付ファイルに鍵をつけて渡してー!
そのあと、その鍵をあとで渡しますよー!っていう仕組みのことー!
PPAP方式とは
PPAPの定義と由来
PPAPとは、「Password付きZIPファイルを送信し、Passwordを別メールで送る」というファイル送信手法の略称です。
- P:Password付きZIPファイルを送る
- P:Passwordを別メールで送る
- A:Angouka(暗号化)
- P:Protocol(手順)
この名称は、2016年に流行したピコ太郎さんの楽曲「PPAP(Pen-Pineapple-Apple-Pen)」から、
どこか響きがプロトコルっぽい。と言う人がいたことからヒントを得て、名付けられました。
引用:(情報処理2020年7月号別刷「《小特集》さようなら,意味のない暗号化ZIP添付メールより)
日本での普及背景
PPAP方式は、2000年代後半から日本の企業や官公庁で広まりました。
- 情報セキュリティガイドラインの誤解:総務省のガイドラインにおける「パスワードはメール以外の方法で送ることが望ましい」という記述が、「別メールで送れば良い」と誤解され、PPAP方式が普及しました。
- プライバシーマーク取得の影響:2005年の個人情報保護法施行後、プライバシーマーク取得を目指す企業が増加し、コンサルタントの助言によりPPAP方式が推奨されました。
- 運用の手軽さ:特別なシステムや高度なITスキルを必要とせず、メールとZIP圧縮ソフトがあれば誰でも利用できる手軽さが、広範な普及を後押ししました。
当初の目的とその効果
PPAP方式は、以下の理由から一時的に有効とされていました。
- 誤送信対策:ファイルとパスワードを別々に送ることで、万が一の誤送信時にも情報漏洩を防げると考えられていました。
- 盗聴対策:ファイルとパスワードを別メールで送ることで、第三者による盗聴リスクを軽減できるとされていました。
- 導入の容易さ:特別なシステムを必要とせず、既存のメール環境で運用可能な点が評価されていました。
しかし、これらの効果は限定的であり、現在では多くの問題点が指摘されています。
PPAP方式のセキュリティ上の問題点
メール盗聴のリスク
PPAP方式の大きな問題点として、メール経由でZIPファイルとパスワードを同じ経路で送信してしまうという根本的な設計上の弱点があります。
- 同一経路問題
一般的に、添付ファイルとパスワードを同じメールシステム(SMTP/POP3/IMAP)で送信するため、攻撃者がメールサーバーやネットワークを盗聴すると、両方とも傍受できるリスクがあります。総務省「情報通信白書」によると、日本国内のメール通信の暗号化率(STARTTLS利用率)は2022年時点で約87%と高い一方、実装不備や誤設定が残る企業も多く、完全に安全とは言い切れない状況です。 - 標的型攻撃
近年はEmotetなどのマルウェア攻撃で、偽装メール(なりすましメール)を用いてPPAP形式のファイルを送りつけ、パスワードを送信させて感染させる事例が多発しています。IPA(情報処理推進機構)の調査では、Emotet被害は2022年だけで数万件報告されており、標的型攻撃の温床になっているといわれています。
ZIP暗号の脆弱性
PPAPで使われるZIPファイルの多くは、初期設定で「ZipCrypto」という比較的脆弱な暗号化方式が使用されています。
- ZipCryptoの問題
ZipCryptoは1990年代に開発された古い暗号方式で、近年のPC性能では数秒~数分でパスワードを解析されるリスクが指摘されています。実際に、無料で入手可能なツール「John the Ripper」や「fcrackzip」などを利用すれば、比較的短時間でパスワードをクラック可能です。 - AES暗号も過信は禁物
近年はAES暗号化ZIPも利用可能ですが、企業によっては設定が不十分なケースもあり、そもそもメール経由でのパスワード送信という手順自体が安全性を損ないます。
マルウェアの侵入経路となる可能性
パスワード付きZIPファイルは、セキュリティゲートウェイやメールサーバーのウイルススキャンをすり抜けやすいという問題があります。
- Emotetの事例
実際に、IPAが報告したEmotetの手口の中には、PPAPを利用してZIPファイルを送りつけ、パスワードで復号させ、マルウェアを実行させるパターンが含まれます。PPAP形式のため、セキュリティゲートウェイがファイルスキャンできず、社内に侵入を許してしまうという実害が報告されています(IPA「Emotet感染被害の現状と対策」より)。 - メールサーバーの設定不備
パスワード付きZIPを一律にブロックする設定が不十分な企業もあり、マルウェア感染のリスクが放置されているケースもあります。
業務効率の低下
PPAP方式は一見セキュリティを担保しているように思われますが、実務上の効率を大幅に低下させる一因となっています。
- パスワード送信の手間
別メールでパスワードを送る作業が発生し、送信側・受信側ともに負担になります。特に取引先が複数の場合、パスワード管理が煩雑になり、誤送信のリスクも高まります。 - スマートフォンでの閲覧の不便さ
スマートフォン利用が主流となっている現代では、ZIPファイルの解凍やパスワード管理が煩雑で、ビジネススピードを阻害する原因となっています。 - ユーザー体験の低下
受信者がZIPファイルを開くためにパスワードを入力し、さらにファイルを展開するという2段階の作業が必要です。緊急対応が求められるビジネスシーンでは、この煩雑さが大きなデメリットになります。
実際の事例と政府・企業の対応
政府によるPPAP廃止宣言
PPAP方式の問題点が社会的に大きく注目されたきっかけのひとつが、2020年11月に内閣府やデジタル庁が発表した「PPAP廃止宣言」です。
デジタル庁は政府の中央省庁間におけるPPAP利用を廃止し、代替としてファイル共有サービスやダウンロードリンクの利用を推奨しました。
これにより、行政機関がPPAPを廃止し始めたことは大きなインパクトを与え、企業にも「PPAP廃止」の流れが波及しました。
企業のPPAP廃止事例
日立製作所のPPAP廃止
日立製作所は、2021年4月にPPAP廃止を発表しました。
代替策として「クリプト便」などのファイル送信サービスを採用し、安全性と利便性の両立を目指しました。
この背景には、EmotetなどのマルウェアがPPAP形式のメールを装って侵入し、大規模な被害を及ぼした事例が複数確認されていたことがあります。
日立製作所の広報資料では、特に「同一経路送信問題」や「ZIP暗号の脆弱性」を挙げ、企業におけるPPAP運用の廃止を強調しています。
出典:日立製作所 公式HPより
NECソリューションイノベータ
NECソリューションイノベータも同様にPPAP廃止を推奨し、公式Webサイトで代替策の解説を行っています。
特に、「PPAP運用を続けることによる生産性低下とセキュリティリスク」を指摘し、ファイル共有サービスの導入やS/MIME、PGPといったメール暗号化技術の利用を推奨しています。
出典:NEC 公式HPより
文部科学省の方針転換
文部科学省も2022年にPPAP廃止を決定し、教職員向けのガイドラインに「パスワード付きZIPファイルの送信は避けるように」と明記しました。
代替として、クラウドストレージやファイル転送サービス、そしてメール暗号化を推奨しています。
実際、同省は「教育現場における情報セキュリティ向上」の一環としてPPAP廃止を盛り込み、全国の教育委員会に周知しています。
出典:文部科学省 お知らせより
PPAP廃止が企業・組織に与えた影響
PPAP廃止の動きは、単なる「メール運用ルール」の変更ではなく、情報セキュリティ文化の変革を意味します。
実際に多くの企業で「ファイル転送ポリシー」の見直しや、「クラウドストレージ導入」「ファイル転送サービスの利用」が進められました。
総務省の報告でも、PPAP利用率は2020年以降で大幅に減少していることが示されており、特に大企業での利用率低下が顕著です。
一方で、中小企業では依然としてPPAPを利用するケースが残っており、セキュリティ教育やツール導入の遅れが課題として指摘されています。
IPAの「情報セキュリティ10大脅威2023」でも、Emotetをはじめとするマルウェア感染リスクが引き続き上位にランクインしており、PPAP廃止だけでなく、総合的なセキュリティ対策が求められています。
校長先生が各クラスに、プリントを紙で渡すのをやめなさい!
と言ってるのに、いや、紙の方がいいでしょ。みんなやってるし!
って抗ってるのと一緒!
安全なファイル共有の代替策
PPAP方式の問題点が明らかになる中で、多くの企業や官公庁ではより安全かつ効率的なファイル共有方法が検討・導入されています。ここでは、実際に採用されている代表的な代替策を紹介します。
クラウドストレージの利用
近年、OneDrive、Dropbox、Google Driveなどのクラウドストレージサービスが企業でも一般的に利用されるようになりました。
クラウドストレージでは、ファイルをURLリンクで共有し、アクセス権限(閲覧、編集、ダウンロードなど)を細かく設定できます。
Microsoft 365やGoogle Workspaceなどの企業向けサービスでは、管理者がユーザー権限を一括管理できるため、誤送信や情報漏洩のリスクを大幅に低減できます。
実際、日立製作所やNECソリューションイノベータでも、PPAP廃止後はクラウドストレージサービスを活用して安全なファイル共有を実現しています。
ファイル転送サービスの活用
パスワード付きZIPに代わる安全策として注目されているのが、ファイル転送サービスです。
クリプト便は、専用のURLとワンタイムパスワードでファイルをダウンロードできる仕組みを提供しており、送信者・受信者双方でログ管理やアクセス制限が可能です。
こうしたサービスは、送信元が相手先メールアドレスを指定することで、一時的なファイル共有ができるうえ、パスワード管理の煩雑さから解放されます。
S/MIMEやPGPの導入
メールの暗号化技術として、S/MIME(Secure/Multipurpose Internet Mail Extensions)やPGP(Pretty Good Privacy)があります。
S/MIMEは電子証明書を使ってメールを暗号化し、受信者しか読めないようにする仕組みです。
一方、PGPは公開鍵と秘密鍵を利用した暗号化方式で、オープンソースソフトウェアとして広く普及しています。
これらの技術はパスワードを別送する必要がなく、メール盗聴や改ざんリスクを大幅に軽減できます。
ただし、S/MIMEやPGPは導入時に証明書管理やユーザー教育が必要であるため、中小企業にはハードルが高い場合もあります。
そのため、クラウドストレージやファイル転送サービスと併用しながら段階的に導入するケースも増えています。
チャットツールの活用
SlackやMicrosoft Teamsなどのチャットツールを利用したファイル共有も、安全で効率的な手段として注目されています。
特にTeamsは、Microsoft 365と連携し、ファイルの権限管理や監査ログの取得が可能です。
Slackでも、ワークスペース単位でアクセス権限を設定し、誤送信や第三者への情報漏洩を防止できます。
また、チャットツールはリアルタイムコミュニケーションが可能なため、ファイル共有後の確認や質問などがスムーズに行える点も利点です。
まとめ
PPAP方式は、一時期は「誤送信防止」「盗聴対策」として一定の効果が期待されていましたが、近年ではそのセキュリティ上の問題点が数多く指摘されています。
メール経由でファイルとパスワードを同一経路で送るという構造的な弱点、ZIP暗号の脆弱性、マルウェアの侵入経路となるリスク、さらに業務効率の低下など、多くの課題が浮き彫りになりました。
政府や大手企業がPPAP廃止を打ち出し、クラウドストレージやファイル転送サービス、S/MIMEやPGPの導入といった代替策が普及し始めています。
こうした代替策は単なるセキュリティ強化だけでなく、業務効率化やユーザー体験の向上にも寄与します。
一方で、企業規模や業種によっては導入のハードルがあるのも事実です。
今後は、PPAP廃止をきっかけとして、組織全体で情報セキュリティを見直し、包括的かつ実効性のある対策を検討していくことが重要です。
「安全で効率的なファイル共有環境」を実現するためには、ツールの導入だけでなく、ユーザー教育や運用ルールの整備も欠かせません。
PPAPに依存し続けるのではなく、よりセキュアでスマートなファイル共有の実現を目指して、ぜひ一歩踏み出してみてください。
ネクストアライブでは、
「Next File Share」という次世代ファイル共有サービスを展開しています。
📌 Next File Shareの主な特長
✅ URLによるシンプルなファイル共有
✅ メールアドレス認証で安全にダウンロード
✅ 自動削除機能で誤送信・情報漏えいリスクを軽減
✅ ITスキルを問わない直感的なUI
✅ 月額500円からのリーズナブルな価格設定
気になった方は↓下記画像リンク↓より詳細資料をご参照ください。
