ピコ太郎? パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの?

1

2020年11月24日 16:03  ITmedia NEWS

  • 限定公開( 1 )

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真JAIPA資料「くたばれPPAP!」より(PDF)
JAIPA資料「くたばれPPAP!」より(PDF)

 4年前に流行った、ピコ太郎の「ペンパイナッポーアッポーペン」(PPAP)。覚えている方も多いのではないでしょうか。



【その他の画像】



 先日、政府が、中央省庁での「PPAP廃止」を決めました。PPAPといっても、ピコ太郎「じゃない方」のPPAPです。



 メールにパスワード付きZIPファイルを添付し、その後に送るメールで、パスワードを知らせる。



 中央省庁だけでなく、日本の企業などで広く普及しているこの“セキュリティ対策”ですが、「セキュリティ的には意味がない」「むしろセキュリティリスクになる」とされ、専門家の間では「PPAP」とも呼ばれて廃止が訴えられてきました。



●改めて、PPAPとは



 PPAPは、「ファイルをZIP形式で圧縮し、そのZIPファイルを暗号化してパスワードで保護し、メールに添付する」「それを解凍するパスワード入りメールを別送する」ことで、機密情報などを含んだZIPファイルが万一流出した場合に、悪意のある第三者に閲覧されないようにしよう、という考え方です。



 第三者が最初のメール「だけ」を盗聴した場合、パスワードなしではZIPファイルを開けないので、セキュリティ対策になる……ということなのですが、実のところ、最初のメールを盗聴できた場合は、次に送られたパスワード入りメールも盗聴できる可能性が高い、などの理由から、ほぼ無意味だと指摘されています。



 また、パスワード付きZIPファイルは、メールサーバー上のウイルスチェックをすり抜けることもあります。例えば、今年9月から急拡大したマルウェア「Emotet」は、パスワード付きZIPファイル“身を隠す”ことで攻撃する事例もあり、むしろセキュリティリスクが高まるとも言えます。



 このように問題点だらけにも関わらず、なぜか日本で広く普及してしまったこの”慣行”。専門家からは「PPAP」と揶揄されていました。



●なぜPPAPと呼ばれる?



 これを「PPAP」と呼ぼうと提唱したのは、ITコンサルタントで、現在はPPAP総研代表の大泰司章(おおたいし あきら)さん。ピコ太郎が2016年に発表したPPAP(ペン・パイナップル・アップル・ペン)が由来です。



 大泰司さんは16年、ピコ太郎のPPAPの響きが「プロトコルっぽい」と言う人がいたことからヒントを得て、パスワード付きZIPメールの“セキュリティしぐさ”に、PPAPと命名したそうです(情報処理2020年7月号別刷「《小特集》さようなら,意味のない暗号化ZIP添付メール」より)。



いわく、



・Passwordつきzip暗号化ファイルを送ります



・Passwordを送ります



・Aん号化(暗号化)



・Protocol



 つまり「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」というわけです。



●ようやく廃止の方向へ



 このように、以前から、廃止すべきだといわれてきたPPAP。それが今回、政府が民間などから広く意見を募る「デジタル改革アイデアボックス」に投稿され、多数の賛成票を得て政府を動かしました。



 今後は、PPAPに代替するセキュリティ手段が重要になってきます。まず内閣府では、民間のストレージサービスでファイルを共有し、パスワードをメールで送信する、などの手段を採っていくようです。



この記事は、Yahoo!ニュース個人に11月22日に掲載された「“じゃない方”のPPAP 政府が廃止を決めた、メールの「PPAP」って何? 詳しく解説!」を加筆、修正したものです。


    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定