PPAP問題とは
パスワード付きzipファイルの添付とパスワード送信
パスワード付きzipファイルの添付とパスワード送信
あるネットワークの情報を傍受する行為が「ネットワーク盗聴」です。盗聴者にはネットワーク内で送受信されているすべてのデータが筒抜けになっています。そのため、同じネットワークから暗号化されたファイルとパスワードを送ることは、両方とも盗聴者に伝えてしまうことを意味します。いくら暗号化してもパスワードを知られてしまってはセキュリティ対策として機能しないといえるでしょう。
ウイルス対策ソフトが暗号化されたzipファイルの感染を見逃してしまうこともあります。マルウェアに感染しているファイルを暗号化した場合、対策ソフトで検知できなくなる可能性が出てくるのです。そのまま受信者のもとにファイルが届けば、ウイルスの被害は広がっていきます。こうした対策ソフトの抜け道を利用したサイバー攻撃も行われるようになってきました。PPAP方式が常態化したネットワークでは、マルウェアの感染にも攻撃にも気づきにくくなっているといえるでしょう。
zipファイルに用いられる暗号はそれほど強度が高くありません。そのため、ある程度のスキルを有しているネットユーザーなら簡単に突破できてしまうのです。具体的には、zipファイルの暗号はZipCryptoとAES-256の2種類です。このうち、強度が高いのがAES-256です。この暗号を用いているzipファイルについては第三者による解読が容易ではありません。パスワードを使った正しい手順を踏まないと難しいでしょう。
しかし、AES-256は使用できるOSを狭く限定してしまいます。仕方なく、多くの企業が幅広いOSで使えるZipCryptoを暗号化に利用してきました。ところが、ZipCryptoは専用のソフトウェアがあれば誰でもすぐ解読できてしまいます。そもそもメーカーが「機密性の高い情報のやりとりには向かない」と認めているほどです。それに、AES-256を使っても「ファイルとパスワードを同じネットワークから送る」というPPAPの根本的な問題は解決されません。方式そのものを変えなければ効果的なセキュリティ対策にはなりえないでしょう。
大前提の問題として、パスワードの送り方に関係なく「ファイルをメール添付する」ことが危険だとする考えもあります。暗号化されたファイルだけでも入手できれば、攻撃者は無限にパスワードの組み合わせを試せるからです。zipファイルのパスワードはログイン情報や銀行口座と違い、パスワードを間違えても繰り返し入力可能です。もしも攻撃者に専門的なスキルがなくても、時間をかければいつかは正解のパスワードに辿り着いてしまうでしょう。
PPAP方式とは違い、ファイルとパスワードは別々の手段で送るのが望ましいでしょう。もしも暗号化されたzipファイルをメール送信したのであれば、パスワードは電話やチャットなどで伝えるようにします。こうすればサイバー攻撃者がファイルとパスワードを2つとも取得しにくくなるので、安全性はより高まります。
さらに万全を期すならzipファイルの暗号化に頼る方式を変えてみるのも選択肢のひとつです。たとえば、クラウドストレージを使ってファイルを共有する企業は増えてきました。クラウドストレージでは限られた人間だけにパスワードが与えられ、アクセスを認められます。パスワードを知らない人間はストレージ内のファイルを閲覧できない仕組みです。
そのほかでは、データ送信サービスも検討してみましょう。データ送信サービスはメール以上の容量のデータを送受信できる方法として広まってきました。同時に、セキュリティ対策もこだわっているサービスは少なくありません。具体的には、SSL接続でデータ通信を暗号化したり、パスワードで受信者認定をしたりするなどの手法です。トラッキング機能によってメールが正常に届けられたことを確認できるのも安心です。
ナビエクスプレスでは、SSL接続とサーバ上の暗号化、パスワードによる受信者認証によって、大切なデータを守ります。さらに、リアルタイムで送信先の受領確認ができるのも大きなメリットです。送信先メールサーバへの到達状況やファイルのダウンロード状況を、ブラウザ上で随時確認できます。
ナビエクスプレスの利用には、特別なソフトのインストールや面倒な設定などが不要です。受信者はナビエクスプレスに登録する必要もないので、社外にファイルを送る際にもスムーズ。相手がインターネットに接続してさえいれば、国内だけでなく国外へのファイル送信も可能です。また、メンバーアカウントを作成できるので、社内の担当者や取引先担当者など利用者を柔軟に設定できます。ナビエクスプレスの利用方法はいたってシンプルです。まず送信者は、ブラウザを使用してファイルをサーバにアップロードします。ナビエクスプレスのサーバ上でデータは暗号化され、SSL接続で受信者に通知メールが送られます。受信者が通知メールに記載されたURLにアクセスするとブラウザ上にパスワード画面が表示され、パスワードを入力すればファイルの確認やダウンロードができます。