X
【情報セキュリティ対策】 IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除 [朝一から閉店までφ★]
■ このスレッドは過去ログ倉庫に格納されています
0001朝一から閉店までφ ★
垢版 |
2021/11/15(月) 22:47:20.17ID:CAP_USER
2021年11月15日 20時24分 公開
[松浦立樹,ITmedia]

 インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。


https://image.itmedia.co.jp/news/articles/2111/15/l_tm1636144_iij1115_1_w490.jpg
IIJが発表した声明


 同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。

 今後、IIJは別のファイル共有手段に移行する方針で、顧客や取引先には個別に連絡するとしている。

 PPAPは、日本の企業を中心に広く普及したセキュリティ対策であったが、メールを傍受された時の情報漏えいリスクが高く、パスワード付きZIPファイルを装ったウイルスに攻撃されるリスクがあるため、専門家からは対策としてほぼ無意味と指摘がある。これに伴い、内閣府では20年11月からPPAPによる外部へのファイル共有を廃止し、共有ストレージを使った方法に変更していた。

https://image.itmedia.co.jp/news/articles/2111/15/l_tm1636144_iij1115_2_w490.jpg
PPAPの由来(JAIPA資料「くたばれPPAP!」より)



Copyright © ITmedia, Inc. All Rights Reserved.
 https://www.itmedia.co.jp/news/articles/2111/15/news148.html
0003名刺は切らしておりまして
垢版 |
2021/11/15(月) 22:50:56.39ID:3jc7YffK
そしてクラウドで権限管理しないでダダ漏れw

日本人には無理だよ
脳筋すぎてレベルの異なるセキュリティの定義と割り当てなんかできないんだから

PPAPはおあつらえだったんだよ
0004名刺は切らしておりまして
垢版 |
2021/11/15(月) 22:52:44.07ID:7K79/J9X
アッポーペン
0008名刺は切らしておりまして
垢版 |
2021/11/15(月) 22:58:38.10ID:YAbki269
だからこそ、FAXですよ
0010名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:04:15.58ID:A0NT/fkK
>>9
そっちがいくらかマシかも
0012名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:08:09.88ID:EecUHfNL
完全w
0013名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:13:21.71ID:4zC8SWOR
うちの取引先でも頑なにお役所仕事なとこがあるけどマジでPPAPはやめてくれ
無意味だから
0022名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:19:33.80ID:2nV7oQWO
これやられると、個人的なアカウントに会社からメール送りにくくなる
そんなことすんなってことなんだが
できないとたまに困ることがあるよなあ
0023名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:19:57.29ID:VNOExAMj
フロッピーを封筒に入れて送れば?
0024名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:20:49.98ID:pxA1HNLH
FAXでパスワードを送るが世界最先端や!
0027名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:25:13.48ID:CRsKLhlk
圧縮の深い階層だとウィルススキャンが働かなくてかえって危険なんだっけ?
これからはlzhの時代やな!
0028名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:28:54.25ID:6IBy85bc
暗号化したウィルスが送り込まれるからなw
あとから届くパスワードを使ってウイルスの侵入が成功すると
0029名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:35:22.12ID:LQTOxFiM
すぐに解析できるのに、ほんと馬鹿みたい。
0032名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:48:13.37ID:20pHXour
フロッピーディスク郵送で
0033名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:51:08.00ID:FlIS0BFV
文系馬鹿に情報アクセス権を与えないのが正解

文系馬鹿は算数もできないのだから営業職すらこなせないだろ
肉体労働以外やらせなければ最高の情報セキュリティ環境になるぞ
0034名刺は切らしておりまして
垢版 |
2021/11/15(月) 23:57:52.00ID:rDW5E6a+
電話だと聞き間違いとかあるからパスワードだけ郵送が一番
もしくは相手の情報がわかっていれば生体認証にしておくか
0036名刺は切らしておりまして
垢版 |
2021/11/16(火) 00:07:48.09ID:QT9482Wu
パスワードは電話かファックスで
0037名刺は切らしておりまして
垢版 |
2021/11/16(火) 00:08:44.67ID:Tb3PUssP
日本の企業は決裁権あるやつらの頭が悪すぎてリスクマネージメントを放棄して丸投げするから無理だよ
だって全ての分野において当然な顔してゼロリスクを要求してくるんだから本当に一流大学の学歴って賢さとなんの関係もねーんだなって思うわ
海外、特にアメリカはリスクマネージメントが本当にお上手、世界一の軍隊があるからなんだろうなゼロリスクなんて追求せずリスクヘッジに予算を割いてインシデントが発生した場合の対応を徹底する
日本人はどこまで99.999…とありもしない幻想をお題目にして丸投げする頭の悪い奴らを排除しないと全ての分野で負け続けるよ
0038名刺は切らしておりまして
垢版 |
2021/11/16(火) 00:16:59.36ID:hsBpZlvU
でもクラウド共有からDLし放題とかだろ。
0039名刺は切らしておりまして
垢版 |
2021/11/16(火) 00:19:15.75ID:jcZGZZIj
なんだこのPPAPとかいう酷い略語は
IT業界の内輪ノリ寒すぎ
0040名刺は切らしておりまして
垢版 |
2021/11/16(火) 00:34:43.12ID:vRHywJip
サイバーセキュリティ担当大臣がUSBの使い方を知らない国。
政権与党の重点政策「デジタル人材10万人プラン」にスマホ教室の講師が掲げられる国。

こんな国にセキュリティ対策なんて無理だろ。
0042名刺は切らしておりまして
垢版 |
2021/11/16(火) 00:43:37.45ID:E3Ym2OPX
PPAPでセキュリティなんか保てないのに、何故かやってるよな
なんの意味があるんだ?
0047名刺は切らしておりまして
垢版 |
2021/11/16(火) 06:04:49.65ID:4T5r0JWv
全く同じメールアドレスに2通届くだけだから、間違った送り先でも2通とも届くわけだし、届いた方は中身確認できるし

うちの会社もPPAPソフトがOutlookにアドインされてるけどPPAP機能は使わなくても外部にメールを送れるし誰も使ってないというw
0048名刺は切らしておりまして
垢版 |
2021/11/16(火) 06:23:41.00ID:nfDTHtpK
フロッピーを手渡しすればいいじゃん!
0050名刺は切らしておりまして
垢版 |
2021/11/16(火) 08:26:21.25ID:AFGZmhW6
>>49
郵便書留でURL送って、パスワードは直接訪問で口頭伝達
0051名刺は切らしておりまして
垢版 |
2021/11/16(火) 08:41:17.62ID:H8xf0zeA
というか、ファイル共有は、HTTPSでファイルアップロードするだけでいいじゃないの。

もっとやるなら、公開鍵暗号の「公開鍵」を自社のHTTPSのWebサイトで公開して、
それを使って暗号化してもらうとか。

まーしらんkど
0053名刺は切らしておりまして
垢版 |
2021/11/16(火) 09:42:05.09ID:fhh4GBQJ
>>51
いやそもそもの話としてファイルの送付手段にメール使うってのが
SMTPができた当初から想定外
だからセキュリティ的に解決策がない
ファイルの送付はftpか時点でhttpにすべき
テキスト以外のSMTPなんか問答無用で削除でいい
0055名刺は切らしておりまして
垢版 |
2021/11/16(火) 10:12:01.49ID:g6pRK+g5
ファイル共有は使う側が細かく共有範囲を策定しないといけないだろうから面倒がると思うけどな
海外とかどうしてるんだろ
0056名刺は切らしておりまして
垢版 |
2021/11/16(火) 11:34:47.51ID:RoJ5jktg
PGPやS/MIMEは許されたの?
0057名刺は切らしておりまして
垢版 |
2021/11/16(火) 16:19:19.73ID:vKG1JYFJ
>>16
自分は今もやってるわ
社外に20MB程度のデータを送る場合は5通くらいに分ける
でも最近、最近は受信側も20MBくらいなら一括受信できると知った
0058名刺は切らしておりまして
垢版 |
2021/11/16(火) 18:31:26.32ID:NZVaQCXI
>インターネットイニシアティブ(IIJ)は

   ∧∧     ┌──────────
  ( ´ー`)   < シラネーヨ
   \ <     └───/|──────
    \.\______//
      \       /
0059名刺は切らしておりまして
垢版 |
2021/11/16(火) 19:02:46.59ID:E3KNWPtf
USBメモリを郵送しよう
邪魔な保護シールを剥がして御社PCに差し込んでください
時間との勝負です
0060名刺は切らしておりまして
垢版 |
2021/11/16(火) 20:07:33.81ID:Qz92l1Vx
PPAPの代わりとして現実的なのはオンラインストレージだけど、
メール文中のURLに脳死でアクセスする癖をつけさせると、
それはそれでフィッシングの餌食になるんだよなあ

もう経路暗号化は諦めて海外みたいにそのまま添付するのがトータルでリスク低そう
0061名刺は切らしておりまして
垢版 |
2021/11/16(火) 20:09:48.20ID:Qz92l1Vx
>>56
元々使いものにならないので存在しないも同然
0062名刺は切らしておりまして
垢版 |
2021/11/16(火) 20:22:13.12ID:gvd+4Dyf
>>11
完全な正解は存在しない

オンラインストレージ含めたクラウドサービスは契約問題が解決困難
自分と相手とクラウド業者の三者間で秘密保持契約が必要だけど、
相手の数だけそれをやらないといけない
0063名刺は切らしておりまして
垢版 |
2021/11/16(火) 20:31:31.04ID:3xHt8O6m
>>53
アップロード先のサーバを誰がどう管理するかが最大のネック
ろくに管理されてないFTPサーバが乱立したらまあ悲惨なことになるよね
SMTPがファイル共有まで抱えるようになったのはそういうこと
0065名刺は切らしておりまして
垢版 |
2021/11/16(火) 20:41:42.13ID:jGEKVo7V
>>9
圧縮ファイルが問題なんだよ
0066名刺は切らしておりまして
垢版 |
2021/11/16(火) 20:44:27.38ID:QLX3aQJK
底抜けかよ
0067名刺は切らしておりまして
垢版 |
2021/11/16(火) 20:47:19.41ID:8f5SzOZY
>>9
口頭で伝えられるようなパスワードZIPじゃ
個人PCでも数分で解析されちゃうんだけどな・・・
0070名刺は切らしておりまして
垢版 |
2021/11/17(水) 11:09:11.39ID:P9R6Gv6k
>>67
解析は無理だよ
例えば
osewani-natte-orimasu
みたいな伝えやすいパスワードですら破れない

辞書攻撃みたいのもあるが、手間がかかり過ぎるので結局現実的じゃない
そのzip内に高く売れる機密情報が入っていることが事前に分かってないとやらないよ
0071名刺は切らしておりまして
垢版 |
2021/11/17(水) 11:24:11.56ID:6+k61Z34
FAX「殿、我ならP2Pにて直接相手に届き、盗聴もされませんぞ」
0072名刺は切らしておりまして
垢版 |
2021/11/18(木) 05:55:16.59ID:4pRFgkG/
これパスワードつき付きzipファイルの拡張子をdatとかに変えて、そのファイルをパスワードなしzipでアーカイブしたものを添付したら送れるんだろうか?
単純にパスワード付きを除外するシステムなら騙せると思うけどな
0073名刺は切らしておりまして
垢版 |
2021/11/18(木) 09:12:45.43ID:LplhxyCb
>>70
>>67の言う「口頭で伝えやすい」が「パスワードの桁数が少ない」を
指すのであれば、>>67の話もあながち間違いでもないような
0075名刺は切らしておりまして
垢版 |
2021/11/18(木) 12:19:06.53ID:RtsCxo9h
取引先のPCがなんでIIJの思う通りになると思ってんだ、クソ会社。
BOXやGoogleDrive、OneDriveも結局取引先にWebアクセス規制解除してもらわないとダメ。

メールもWebだめなら、もはやDVDとか暗号付きUSBしかねーんじゃねえの?
0076名刺は切らしておりまして
垢版 |
2021/11/18(木) 12:49:43.01ID:LplhxyCb
>>75
それらのサービスへの切り替えられない情弱企業は淘汰されるってだけやろ

パスワード付きZIPは、標的型攻撃メールなんかと組み合わせて使われると
大きなセキュリティリスクになるってのがセキュリティ業界ではデフォに
なってるわけで
米国国土安全保障省の傘下機関のCISAだって、受信メールのパスワード付き
ZIPはブロックを推奨してるし

日本でも大きなところじゃ内閣府や日立製作所もとっくに廃止済みだし
デジタル改革大臣の平井だって、去年、廃止の方向で進めるべきって
方針出したじゃん

この状況下で情シスが動いてない方が遅いのよ
0077名刺は切らしておりまして
垢版 |
2021/11/19(金) 22:05:20.53ID:A4k1hyPF
圧縮したらウイルススキャンをすり抜けるって暗号化なんだからそれが普通では
解析出来るなら暗号化の意味は無いし
ウイルス送信者も利用したってだけで
0078名刺は切らしておりまして
垢版 |
2021/11/19(金) 22:07:23.41ID:A4k1hyPF
それに暗号化の方が理由になっててメールで送信云々は関係ないやん
暗号化が理由ならメーだろうとクラウドだろうと同じやん
0079名刺は切らしておりまして
垢版 |
2021/11/19(金) 22:10:37.56ID:A4k1hyPF
ちょっと自分でも分かりにくい分だったので修正

暗号化でウイルススキャンが通り抜けるって話なら送信方法をクラウド経由にしても同じ事
0081名刺は切らしておりまして
垢版 |
2021/11/20(土) 10:00:18.42ID:henIhUSJ
(1) データを暗号化してるからウィルススキャンをすり抜ける
のと
(2) メールでデータとパスワード送るからメールセキュテリィ破られたらデータ盗まれる
と言う話をごっちゃにしてる奴がいるな
(1) はクラウドだろうがFDだろうが同じで展開してウィルススキャンするしかない
(2) はパスワードを電話/Fax/手紙とかの別メディアで送るようにすればいい
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況