平井卓也デジタル改革担当相は11月17日の定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きzipファイルを廃止する方針であると明らかにした。政府の意見募集サイト「デジタル改革アイデアボックス」の意見を採用した。内閣府、内閣官房から取り組みを始め、他省庁については利用実態を調査する。 zipファイルの廃止は内閣官房が16日に開催した、河野太郎行政・規制改革担当相らとの対話の場で取り上げられ、その場で採用が決まった。アイデアボックスでの支持が最も高かったという。 霞が関の職員らは文書データを添付する際、zipファイルに加工してメールで送信しており、これまではセキュリティ対策として慣例的にパスワードを別メールで送信していた。 河野氏との対話の場で平井氏は「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘。河
某大企業のDX状況を教えるよ!
某大企業に勤めてるよ! みんな絶対に知ってる日本でトップクラスっていうかある意味トップの企業だよ! もちろんDXをゴリゴリに推進しているし「DX」と名の入った部署まで作って本気だよ! そんなうちの会社の最新のDX事情を教えてあげるYO! もちろんDaaS社内システムはもちろんDaaS(Desktop As A Service)を使ってるよ! 要するにリモートデスクトップだよ! 社内全員がDaaSを利用するんだけど負荷を抑えるためにWindowsのインデックスサーチはOFFにされてるよ! なのでファイル検索はめちゃくちゃ遅いしOutlookのメール検索も死ぬほど遅いよ! おまけに一人あたり20GBの容量しか使えないよ!でも基本的にメールのやりとりだからメールだけで使い切るよ! え?使い切ったらどうするかって?もちろん、古いメールは削除だよ! なんで20GBしか使えないのか聞いたら、「平均して
TL;DR 基本的には二重での暗号は不要 ただし、転送後も暗号化したまま使うなら、転送前から暗号化するのは良い ルールXを無邪気に追加して不整合のあるセキュリティルールを作ってはいけない はじめに 社内のセキュリティルールやスタンダードを決めるときに、HTTPSなのにVPN必須になってたりファイル暗号も必須になってたりするケースたまに見ます。今回は、それは実際に必要なことなのか? セキュリティ的に有効なのか? という点で考察をしていきたいと思います。 背景 二重三重に暗号化しても性能ペナルティが無いなら「なんとなく安全そうだから」でOKにしてしまいがちなのですが、これはよく考える必要があります。 というのも 「ルールXを追加することで既存のルールAと不整合が出る」 ってことは割とよくあるからです。具体的には「SCPのファイル転送は(SCPのセキュリティに不備があった時の)安全性のためにファ
第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き
ピコ太郎の新曲に海外ネット民困惑 「葬式で流すのに最適な曲」「何があったらPPAPからこうなるの?」 - ライブドアニュース
2019年8月19日 13時20分 by ライブドアニュース編集部 ざっくり言うと 14日、ピコ太郎の新曲「Everyone must die」がYouTubeに公開された 「人はみんな産まれて……死ぬ」というメッセージが強烈な1曲となっている 独特の世界観に海外からのコメントも多く「暗い。暗すぎる」と困惑する声も ◆ピコ太郎の独特すぎる新曲「Everyone must die」 『PPAP』で世界的な人気を集めたピコ太郎さんの新曲が注目を集めている。新曲はピコ太郎さんが取り組んできた「ピコ10プロジェクト」のラスト曲として、8月14日にユーチューブ上で公開された。PPAPはすべて英語の歌詞で1分程度の長さだったが、新曲は、サビ以外はすべて日本語で、曲の長さも3分程度に伸びている。 MVでは、おなじみのアニマル柄の衣装に、頭上に天使の輪を付けたピコ太郎さんが冒頭、穏やかなピアノに合わせ、「
日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになった。子会社の日立ソリューションズが「秘文」ブランドで販売していたメールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了していた。同様の動きは他の大手ITベンダーでも進んでいる。 暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。 社内ルールを改定しPPAPを禁止 日本のITベンダーは自らが社内でPPAPを行うだけでなく、PPAPの手順を自動化するツールを顧客に販売するなど、これまでは強力な「PPAP推進派」だった。しかしPPAPがメール誤送信対策として不十分であるだけでなく、
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。 プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール
「パスワード付き添付ファイル」が無意味どころか社会の害になる理由
早稲田大学理工学部を卒業後、日本DECに就職。営業サポート、ソフトウェア開発、研究開発に従事し、1997年からはMicrosoftでWindows製品の開発に携わる。2006年以降は、GoogleにてWeb検索のプロダクトマネジメントやChromeのエンジニアリングマネジメントなどを行う。2015年11月、技術情報共有サービス『Qiita』などを運営するIncrementsに転職。17年6月より独立し、プロダクト戦略やエンジニアリングマネジメントなどの領域で企業の支援を行う。17年9月、ヘッドハンティング・人材紹介を展開するクライス&カンパニーの顧問に就任。2019年1月、テクノロジーにより企業や社会の変革を支援するTably株式会社を設立。「プロダクトマネージャーのキャリア戦略」 及川卓也のプロダクト視点 アマゾン、アップルといった米国企業や中国企業からの遅れが目立ち始めた日本企業。かつ
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。 パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。 取引先や顧客など社外の相手とファ
IIJは、パスワード付きZIPファイルを添付したメールとパスワード記載メールを個別に送信する「PPAP」を廃止すると発表した。2022年1月26日から添付ファイルは削除し、メール本文のみを受信する。 インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。 同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。 今後、IIJは別
制度関連のNEWS|メール添付のファイル送信について|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。 プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。 プライバシーマーク付与事業者におかれましては、個人情報を含むファイルをメールで送受信する場合、送信先や取り扱う情報等を踏まえ、リスク分析を行ったうえで、必要かつ適切な安全管理措置を講じていただきますようお願いいたします。 この件に関するお問合せ先 プライバシーマーク推進センター 電話:03-5860-7563 公開日 2020年11月18日
freee株式会社は、2020年12月1日(火)から、原則としてメールによるパスワード付きファイルの受信を廃止させていただきます。パートナー及びお取引先の皆様にはご理解とご協力のほどよろしくお願いいたします。 ■方針決定の背景 パスワード付きファイルはメール受信時のマルウェア検査を迂回させるため、結果的にパスワード無しのファイルと比較して社内のセキュリティリスクを増大させています。 また、最近のマルウェアの大半を占めるというemotetの拡散(※1)を、いわゆるPPAP(※2)と呼ばれているものをはじめとしたパスワード付きファイルを送受信する運用が助長させていると考えられており、米国CISAでもパスワード付きファイルの受信をブロックすることをemotet感染の緩和策として提示しています(※3)。 こうした背景を踏まえ、お客様の大切なデータをお預かりする当社としては更なるセキュリティ向上のた
パスワード付きzip PPAP 問題について
セキュリティ技術センターの宇井です。 今回はメールでファイルを共有する際によく用いられているパスワード付きzipの問題について取り上げていきたいと思います。 ファイルを共有する際にパスワード付きzipファイルをメールで送信し、あとからメールでパスワードを送信するという方法は現在もよくつかわれている方法なのではないでしょうか。実際に私もこの方法でファイルを共有したこともありますし、周りで使っている人を今もよく見かけます。しかしこの方法はセキュリティ面で多くの問題があります。 皮肉をこめてかPPAPと呼ばれることがあります。(ピ〇太郎のことではありません。)
マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘:“PPAP”廃止の余波か(1/2 ページ) セキュリティソフトなどを開発するデジタルアーツ(東京都千代田区)は1月17日、パスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)の代替手段として利用が進むファイル共有サービスが、マルウェアの感染経路になっているとするレポートを発表した。特にゲームプレイヤー向けのチャットサービス「Discord」と、米マイクロソフトのクラウドサービス「OneDrive」を使った手法が突出しているとして、警鐘を鳴らしている。 レポートによると、マルウェアを仕込んだファイルを2サービス上にアップロード。生成されたURLからファイルをユーザーにダウンロードさせ、感染させる手法だという。セキュリティ関係者による悪性URL共有プロジェクト「URLhau
Zipファイルのクラック
メールでZipファイルを送って次のメールでパスワードを送るという無意味より悪いセキュリティ対策が問題になっている。なぜ無意味より悪いかというと,Zip暗号化は強度が十分でない上に,次のメールで送るパスワードは無意味で,さらにゲートウェイでのウイルス対策ができなくなるのでウイルス送付に利用されやすいためである。 PythonでZipファイルを展開する方法は文字コードのところに書いたが,同様にしてパスワードをブルートフォースで破ることも原理的には可能である。4桁数字のパスワードで暗号化した test.zip をクラックするには次のようにすればよいであろう: from zipfile import ZipFile with ZipFile('test.zip') as z: for i in range(10000): pw = f'{i:04d}' try: z.setpassword(pw.
日本人はなぜ「マスク」と「PPAP」をやめられないのか:あなたは大丈夫? 電子メールのセキュリティ対策(1/3 ページ) 2万社以上にセキュリティ対策を強化したメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。今回のテーマは「脱PPAP」についてです。 PPAPとは「パスワード付きZIPファイルとパスワードを同じ経路で送信する方法」のこと。「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」の頭文字からなる造語で、元JIPDECで現PPAP総研代表の大泰司章氏が命名し、問題提起したのが始まりだといわれています。 政府がPPAP廃止を宣言してから3年。いまだにパスワード付きZIPファイルを送ってくる企業が少なくありません。なぜ日本企業はP
NTT西日本は3月7日、愛知県公立大学法人から受託した業務に使っていたPCがEmotetに感染し、従業員や取引先のメールアドレスが流出。不審なメールの送信に使われていると発表した。 1日に、同社従業員がメールに添付されたファイルのマクロを実行したのが感染の原因とみられる。NTT西の従業員を装った不審メールが関係者に送信されたため、感染したPCをネットワークから切断。関係者に謝罪と注意喚起のメールを送った。 流出した情報は確認中。NTT西は今後、基本動作の徹底、情報セキュリティ教育の再実施など再発防止策を実行するとしている。 関連記事 Emotet感染爆発で謝罪企業相次ぐ 沖縄県、気象協会、いすゞなど【訂正あり】 マルウェア「Emotet」の再拡大が進み、各地で感染報告が相次いでいる。2月以降、沖縄県やリコー系列会社、NPO法人、食品会社などさまざまな業界の企業が、おわびと注意喚起を発してい
笑いごとじゃない!「PPAP」直ちに禁止すべき訳
1月下旬、ネット上を「PPAP」という言葉が駆け巡った。YouTubeで1億回以上再生されたピコ太郎さんの楽曲「ペンパイナッポーアッポーペン」ではなく、パスワード付きファイルをメールに添付して送ることを指す。 そもそもPPAPとは「Password付きZIPファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル)」の略。まず暗号化したパスワード付きZIPファイルを添付したメールを送り、その直後に解凍する際のパスワードを別のメールで送るという手順を指す。 PPAPは添付ファイルの中身を盗み見されたくない、誤送信しても中身を見られないようにしたい、といった理由で広がった。 だが、「ZIPファイルのパスワードは総当たりで突破できるため、盗聴対策にはならない。誤送信対策としても、結局メールでパスワードを送るので、その前に誤送信に気づかなければ意味がない。本来
暗号化ZIPファイルにして送信。その後、メールでパスワードを追いかけて送る。これは「おまじないにしか過ぎない」。さらには「意味がないだけではなく有害だ」と専門家は指摘する。リモートワークでも障害が出る。
Microsoftのクラウドサービスがパスワードで保護されたZIPアーカイブのスキャンを開始 | ソフトアンテナ
MicrosoftのクラウドサービスOneDriveやSharePointなどで、ユーザーがアップロードしたパスワードで保護されたZIPファイルのスキャンが行われていると報じられています(gHacks)。 従来、マルウェアを配布するためには、ZIPやRARなどのアーカイブファイルが使用されてきましたが、現在ほんとどのセキュリティソフトウェアはアーカイブファイルのスキャンに対応し、攻撃に使用されるアーカイブファイルはパスワードで保護されるようになっています。 セキュリティ研究者のAndrew Brandt氏は月曜日、MicrosoftがSharePoint上でパスワードで保護されたZIPアーカイブのスキャンを開始したことを明らかにしました。Brandt氏は、Microsoftが、パスワードで保護されたZIPアーカイブに含まれる、マルウェアサンプルのいくつかをマルウェアと判定し始めたことに気が
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表した。今後、外部へのファイル送信には外部ストレージサービスを活用し、他省庁の状況についても実態調査を進める。 内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。 また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワード
)
PPAP (セキュリティ) - Wikipedia
PPAP(ピーピーエーピー)はコンピュータセキュリティの手法の一つ。 名称[編集] 「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」の略号である[1]。 日本情報経済社会推進協会に所属していた大泰司章(おおたいし あきら)(現・PPAP総研)が問題提起し命名した[2]。ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司が命名のヒントを得た[3]。PPAPという用語は『日本情報経済社会推進協会』の発行する文書にも使われている[4]。 具体的な方法[編集] PPAPによるファイルの送受信は、次のような段階によって行われる。 送信者は、ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。 送信者は、1.で送信した添付ファイルのパスワ
一般財団法人日本情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマ
暗号化ファイルとパスワードをメールで送る「PPAP」を廃止する動きが大手ITベンダーで進んでいる。かねてPPAPはセキュリティー対策として無意味との指摘は多く、2020年11月に平井卓也デジタル改革相(当時)が内閣府と内閣官房でPPAPを廃止すると発表してから、民間企業にも廃止の波が広がった。 関連記事: ピコ太郎氏も驚いた「PPAP全面禁止」、3分でまるわかりPPAP 平井氏の発言直後の2020年12月から2021年2月にかけて、日経クロステックは大手ITベンダー10社にPPAPの廃止状況を調査した。すると、NECと日本IBM、日本ユニシスの3社は既に廃止しており、2社が2021年度中の廃止を検討するとしていた。 関連記事: ITベンダーが次々「脱PPAP」、日立に続き富士通やNTTデータも 2021年10月8日、日立製作所が「2021年12月13日以降PPAPの利用を禁止する」旨を公表
ヤバイIT企業を見分ける3つの踏み絵:ITソリューション塾:オルタナティブ・ブログ
「セキュリティ対策」とは、ITを使いこなし、その価値を最大限享受しても安全・安心を維持する対策である。ユーザーに意識させ、負担させる「セキュリティ対策」、パスワードを何度も入力し、申請や承認のための手続きがやたらあって、業務を滞らせる「セキュリティ対策」も、ITの価値を毀損し、仕事の生産性を低下させるようでは、ITの価値を活かせないどころか、毀損している。 セキュリティのためにと様々な制約を課し、仕事の生産性を低下させている企業が、お客様の業務の生産性の向上に貢献できるわけがない。そんなIT企業に、仕事の依頼を続けることが、どれほどリスクが高いかを真剣に考えた方がいいだろう。 「ヤバイIT企業」は、次の3つの踏み絵で判断できる。 PPAPを使っている会社 PPAPとは、添付ファイルを暗号化し、zip圧縮して添付ファイルにして送信し、その後、平文でパスワードを送付する手順のことだ。これはセキ
これから日本の大組織が悩む、自動暗号化Zipファイルの代わりをどうすべきか問題|楠 正憲(Japan Digital Design CTO)
内閣府・内閣官房がメールサーバーの設定を変更して添付ファイルを自動的に暗号化Zipに変換する仕組みを停止させた。情報処理学会の機関誌『情報処理』が7月号で暗号化Zipメールの小特集を組み、10月に入ってデジタル改革アイデアボックスに暗号化Zipの添付廃止が提言され、11月24日平井卓也デジタル大臣が記者会見で自動暗号化ZIPファイルと同一経路を使ったパスワード別送の廃止を表明、翌25日から内閣府・内閣官房のメールサーバーの設定が変更された。 電子メールの添付ファイルの自動暗号化Zip化は、金融機関や通信キャリアなど日本を代表する組織の多くで現在も使われていることから、今後、各組織で暗号化Zipファイルを廃止すべきか否か、議論が進むものと考えられる。 暗号化Zipファイル添付の何が悪かったのか自動暗号化Zipファイルの問題は、データを保護する上で全く効果がないにも関わらず、サンドボックスによ
登壇者の紹介 平野善隆氏(以下、平野):「ここが変だよPPAP」ということで、進めます。まずは登壇者の紹介です。私、平野が株式会社クオリティアから来ました。メールに関しては1900年代後半からいろいろといじっていまして、PPAPを最初に見たのが、2000年前半ぐらいです。 そのあと当社、当時のトランスウェアに入り、いろいろなメールのソフト、サービスを作っていく中で、PPAPをもしかしたら普及させてしまったかもしれない誤送信防止のソフトやツールなどの、プロダクトマネージャーをしていました。 そういう意味で、PPAPの立場としてはなかなか複雑です。しかし、「止めたほうがいいよ」とも、「おもしろいよ」とも、どんな話もできる立場で、このセッションは「ちょっと変だよ」と技術的にディスりながらしたいと思っています。次はVadeの関根さん、お願いします。 関根章弘氏(以下、関根):Vade Secure
PPAPはセキュリティ対策としての効果が薄いばかりか、生産性の低下を引き起こすと指摘されている。約9割のメール通信サービスが対応している機能を使えば、PPAPの矛盾を解消し、安全かつ楽に添付ファイルを送信できるという。 脱PPAP論の上原 哲太郎教授と問題解決の方向性を議論 セキュリティ効果が薄く業務効率を下げるといわれる「PPAP」(暗号化ZIP添付メール)だが、「周りが続けているからやめられない」という本音も漏れ聞こえる──メール誤送信防止サービスを提供するクオリティアは2022年8月、脱PPAP論で知られる立命館大学教授の上原 哲太郎氏を招いてオンラインセミナー「上原哲太郎氏×老舗メールセキュリティベンダーのガチンコ対談 ~『脱PPAP』対策:コスト・慣習の壁を打ち破る現実的な進め方~」を開催した。PPAPの弊害とともに、メールサーバの多くが対応する機能を生かした脱PPAPアプローチ
人類がZIPのパスワードを直後のメールで送る理由
IPAが公開している電子メール利用時の危険対策のしおりの影響 https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf ‘電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。‘ 普通の会社は安く手軽なセキュリティを好む、暗号化は簡単だ問題は暗号の解除だ そこでこんなサービスが登場する「パスワードは別メールで送信元に自動で同時送信」と言うものだググれば腐るほど出てくる システムさえ入れればお手軽なセキュリティしてますアピールが出来て漏洩したとしても言い訳がしやすい コストも安いとなると多くの企業が飛びついたのだろう、次! PマークやISMSを取得するために必要だから JIS改正に伴うプライバシーマーク審査基準の改正について https://www.jisa.or.jp/service/p
さよならPPAP - パスワードZipファイル運用から正しいメッセージングへ | Proofpoint JP
デジタル改革相の平井大臣が、パスワード付きZipファイルをメールで送って、あとからそのZipファイルのパスワードをメールで送るという自動暗号化Zipファイルの慣習を2020年11月26日からやめると宣言し、話題になりました。*1 デジタル改革アイデアボックスにこの慣習に関する多数の投稿が寄せられたことがきっかけで、捺印の廃止と同様、意味がないことは止めようということになったようです。つまり、この慣習をセキュリティ的にも、利便性の観点からも適切ではないと判断したことになります。 このニュースを目にした人々の反応は大きく分けて、2つあったかと思います。「やった!ようやく理解したのか。」という反応と、「え、じゃぁどうすればいいの?」という二つの反応です。 このブログでは、PPAPのメリデメとそれに代わる代替案についてご紹介したいと思います。 PPAPとは 実は、このビジネス習慣、日本では以下の頭
「宿泊を楽しみにしていますが、娘は特定の食べ物にアレルギーがあります。以下のURLよりダウンロードしてご確認お願いします」 こんなメールをホテルの予約窓口に送り、URLからマルウェアをダウンロードさせ、宿泊予約者のクレジットカード情報などを詐取するサイバー攻撃が増えていると、セキュティ企業のラックが注意喚起している。コロナ禍が落ち着いてきた2023年夏ごろから、観光業を狙ったサーバー攻撃が増えているという。 攻撃者は、標的型メール攻撃によりホテル従業員の端末をマルウェアに感染させ、宿泊予約サイトの認証情報を取得。ホテル従業員になりすまし、宿泊履歴などを基に予約者にメッセージを送信し、フィッシングサイトに誘導してクレジットカード情報を不正に入手するという。 攻撃者はいきなりマルウェアを送るのではなく、ホテルの従業員とメールでやりとりした後に、「宿泊者のアレルギー情報を確認してほしい」など、ホ
パスワード付きZIPファイルをメールに添付し、別メールでパスワードを送付するいわゆる「PPAP」を廃止する動きが盛んだ。これを実現するためには取引先や社内部署との調整も重要だが、まずはPPAPのデメリットや代替策を正しく把握することから始まる。 本稿は、アイティメディア主催のオンラインセミナー「ITmedia Security Week 2022春」(2022年2月28~3月7日)の「脱PPAP」をテーマにした、上原 哲太郎氏(立命館大学情報理工学部 教授)による基調講演「結局のところ、メールの添付ファイルはどうやって送ればいいの?」の様子をレポートする。技術的な観点から明らかになったPPAPの問題点とは。
文部科学省が「脱PPAP」、Emotet流行に備え
文部科学省は2021年12月1日、送受信メールの添付ファイルをクラウドストレージに自動で移し、受信者がファイルをクラウドストレージからダウンロードする仕組みを導入すると発表した。2022年1月4日に運用を開始する。 導入の目的はパスワード付きZIPファイルをメールで送信し、解凍パスワードをメールで追送するファイル共有手法「PPAP」への対策だ。PPAPは「Emotet(エモテット)」などのマルウエア感染を助長しているとされる。PPAPでのファイル共有を防止する仕組みを取り入れることで、マルウエア感染を防ぐ。 クラウドストレージには米Boxの「Box」を採用する。NECのメールセキュリティー製品「MCメールフィルター」のBox連携機能と組み合わせ、添付ファイルをBoxへ自動で移す。メールの受信者にはBoxのURLが届き、受信者はURLにアクセスしてファイルを取得する。
大手IT企業がパスワード付きZIPファイル添付メールを利用し続ける理由:成迫剛志の『ICT幸福論』:オルタナティブ・ブログ
ご存知の通り、平井卓也デジタル改革担当相は11月17日の定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きzipファイルを廃止する方針であると明らかにした。 霞が関でパスワード付きzipファイルを廃止へ 平井デジタル相 ちょうどこの会見の2週間ほど前に、某先進なニッポンのIT企業(従業員2万人規模)からパスワード付きZIPファイルが送られてきて、(めんどくせーなと思いながら)何故パスワード付きZIPファイル+続けてパスワード送付をするのか、問い合わせてみたところ、同じ11月17日に回答をいただいた。 以下全文を掲載する。 PPAPに関するシステム見解 メールにファイルを添付する場合、パスワード付ZIPファイルに変換した上で送信し、その開封パスワードは別送する、といういわゆる「PPAP手法」については、システム部門として下記の通り意義があると考えております。
添付ファイル分離配送機能のセキュリティを強化 パスワード通知メールの別経路での配送を開始パスワード付きZip送付「PPAP」方式のセキュリティリスクを低減 | 法人向けクラウドメールサービスのサイバーソリューションズ
添付ファイル分離配送機能のセキュリティを強化 パスワード通知メールの別経路での配送を開始 パスワード付きZip送付「PPAP」方式のセキュリティリスクを低減 法人向けソフトウェアの開発、販売を行うサイバーソリューションズ株式会社(所在地:東京都港区、代表取締役社長:秋田健太郎、以下当社)は、Microsoft 365・ Google Workspace のメールセキュリティ強化サービス『Cloud Mail SECURITYSUITE』など、提供するクラウドメールサービスやクラウドメールセキュリティサービスに実装している添付ファイル分離配送機能における、パスワード通知メールの別経路での配送を2月1日(月)より開始することをお知らせいたします。 ■PPAPの代替方法の採用が急務 2020年11月に平井卓也デジタル改革担当大臣が、パスワード付きzipファイルを送り、その後、パスワードを同一経路
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた:パスワード付ZIPメール(1/3 ページ) 11月、平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPファイルの使用を廃止する方針を打ち出しました。これを機に、パスワード付きZIPファイルをメールに添付して送り、その直後にやはりメールで解凍のためのパスワードを送る「PPAP」──すなわち「Password付きZIPファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol」と呼ばれる方式に反発する声があちこちで沸き起こっています。 PPAPは多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれています。しかし後述する通り、この理由には明確な根拠が見つかりません。その上、セキュリティの効果はあまりないにもかかわらず、メ
これなら脱PPAPできる、正しいファイルの送り方
暗号化ファイルとパスワードをメールで送る「PPAP」は廃止が急務だ。それではどうすれば安全に社外へとファイルを送り、情報を共有すればよいのか。正しいやり方を紹介しよう。 PPAPに代わる、安全なファイル共有手段はどうあるべきだろうか。冒頭で紹介した大手ITベンダーは、PPAPからクラウドストレージに移行している。日本ユニシスはグループ会社のユニアデックスが提供する「AirTriQ」や米ボックスの「Box」に移行した。NECや日本IBMも同様にBoxを使っている。クラウドストレージには他にも、米マイクロソフトの「OneDrive」やグーグルの「Googleドライブ」、米ドロップボックスの「Dropbox」などがある。こうしたクラウドストレージを使うのが1つの選択肢となる。 クラウドストレージで受信者を限定 クラウドストレージを活用したファイル共有の手順を説明しよう。まず送信者と受信者が、どち
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
霞が関でパスワード付きzipファイルを廃止へ 平井デジタル相
え、HTTPSの転送なのにファイルも暗号化するんですか???
日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立
日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除
freee、メールによるパスワード付きファイルの受信を廃止 | プレスリリース | フリー株式会社
マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘
日本人はなぜ「マスク」と「PPAP」をやめられないのか
NTT西がEmotet感染 受託業務で使用したPCから従業員・取引先メールアドレス流出
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相
6桁の英字パスワードなら家庭用PCでも1秒で解読。PPAPに警鐘
“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
日立も「脱PPAP」、大手ITベンダー10社で残るは3社
セキュリティ的にはパスワード付きもリンクも変化なし “変”と言われる日本独自のPPAPの使われ方
添付ファイルの暗号化はもはや必要ない 脱PPAPの真実と代替案
「娘のアレルギー情報はこちら」→マルウェアDLさせる ホテルなど狙うサイバー攻撃増加
IIJ 見解:PPAP 代替策として共有ストレージに飛びつくのは禁物 | ScanNetSecurity
技術観点で暴く“PPAPの無意味さ” 本気で脱却を目指す企業に向けた代替策
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた
bambitoblog.com
shiori1.dt.weblog.vc
www.nikkei.com
news.yahoo.co.jp
www.1101.com
detail.chiebukuro.yahoo.co.jp