【情報セキュリティ対策】 IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除 [朝一から閉店までφ★]
■ このスレッドは過去ログ倉庫に格納されています
2021年11月15日 20時24分 公開
[松浦立樹,ITmedia]
インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。
https://image.itmedia.co.jp/news/articles/2111/15/l_tm1636144_iij1115_1_w490.jpg
IIJが発表した声明
同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。
今後、IIJは別のファイル共有手段に移行する方針で、顧客や取引先には個別に連絡するとしている。
PPAPは、日本の企業を中心に広く普及したセキュリティ対策であったが、メールを傍受された時の情報漏えいリスクが高く、パスワード付きZIPファイルを装ったウイルスに攻撃されるリスクがあるため、専門家からは対策としてほぼ無意味と指摘がある。これに伴い、内閣府では20年11月からPPAPによる外部へのファイル共有を廃止し、共有ストレージを使った方法に変更していた。
https://image.itmedia.co.jp/news/articles/2111/15/l_tm1636144_iij1115_2_w490.jpg
PPAPの由来(JAIPA資料「くたばれPPAP!」より)
Copyright © ITmedia, Inc. All Rights Reserved.
https://www.itmedia.co.jp/news/articles/2111/15/news148.html そしてクラウドで権限管理しないでダダ漏れw
日本人には無理だよ
脳筋すぎてレベルの異なるセキュリティの定義と割り当てなんかできないんだから
PPAPはおあつらえだったんだよ うちの取引先でも頑なにお役所仕事なとこがあるけどマジでPPAPはやめてくれ
無意味だから 昔はでかいファイル分割してメールに添付してたなあ。 ppapでいいと思うけどね。富士通はオンラインで失敗してたしな。 これやられると、個人的なアカウントに会社からメール送りにくくなる
そんなことすんなってことなんだが
できないとたまに困ることがあるよなあ 最近iijのメールヘッダー見ると
見慣れないxspmail.jpがあるけど何か変わったの? 圧縮の深い階層だとウィルススキャンが働かなくてかえって危険なんだっけ?
これからはlzhの時代やな! 暗号化したウィルスが送り込まれるからなw
あとから届くパスワードを使ってウイルスの侵入が成功すると 文系馬鹿に情報アクセス権を与えないのが正解
文系馬鹿は算数もできないのだから営業職すらこなせないだろ
肉体労働以外やらせなければ最高の情報セキュリティ環境になるぞ 電話だと聞き間違いとかあるからパスワードだけ郵送が一番
もしくは相手の情報がわかっていれば生体認証にしておくか 日本の企業は決裁権あるやつらの頭が悪すぎてリスクマネージメントを放棄して丸投げするから無理だよ
だって全ての分野において当然な顔してゼロリスクを要求してくるんだから本当に一流大学の学歴って賢さとなんの関係もねーんだなって思うわ
海外、特にアメリカはリスクマネージメントが本当にお上手、世界一の軍隊があるからなんだろうなゼロリスクなんて追求せずリスクヘッジに予算を割いてインシデントが発生した場合の対応を徹底する
日本人はどこまで99.999…とありもしない幻想をお題目にして丸投げする頭の悪い奴らを排除しないと全ての分野で負け続けるよ なんだこのPPAPとかいう酷い略語は
IT業界の内輪ノリ寒すぎ サイバーセキュリティ担当大臣がUSBの使い方を知らない国。
政権与党の重点政策「デジタル人材10万人プラン」にスマホ教室の講師が掲げられる国。
こんな国にセキュリティ対策なんて無理だろ。 未だにこんなんやってるとか00年代初頭の話じゃないのかよこれ PPAPでセキュリティなんか保てないのに、何故かやってるよな
なんの意味があるんだ? >>35
数年前だがT自動車もやってたな
しかも自動的にPPAPに変換するメールゲートウェイ製品(笑)利用 全く同じメールアドレスに2通届くだけだから、間違った送り先でも2通とも届くわけだし、届いた方は中身確認できるし
うちの会社もPPAPソフトがOutlookにアドインされてるけどPPAP機能は使わなくても外部にメールを送れるし誰も使ってないというw >>49
郵便書留でURL送って、パスワードは直接訪問で口頭伝達 というか、ファイル共有は、HTTPSでファイルアップロードするだけでいいじゃないの。
もっとやるなら、公開鍵暗号の「公開鍵」を自社のHTTPSのWebサイトで公開して、
それを使って暗号化してもらうとか。
まーしらんkど >>51
それでいいよ
実際そういうシステムいれたところもある >>51
いやそもそもの話としてファイルの送付手段にメール使うってのが
SMTPができた当初から想定外
だからセキュリティ的に解決策がない
ファイルの送付はftpか時点でhttpにすべき
テキスト以外のSMTPなんか問答無用で削除でいい ファイル共有は使う側が細かく共有範囲を策定しないといけないだろうから面倒がると思うけどな
海外とかどうしてるんだろ >>16
自分は今もやってるわ
社外に20MB程度のデータを送る場合は5通くらいに分ける
でも最近、最近は受信側も20MBくらいなら一括受信できると知った >インターネットイニシアティブ(IIJ)は
∧∧ ┌──────────
( ´ー`) < シラネーヨ
\ < └───/|──────
\.\______//
\ / USBメモリを郵送しよう
邪魔な保護シールを剥がして御社PCに差し込んでください
時間との勝負です PPAPの代わりとして現実的なのはオンラインストレージだけど、
メール文中のURLに脳死でアクセスする癖をつけさせると、
それはそれでフィッシングの餌食になるんだよなあ
もう経路暗号化は諦めて海外みたいにそのまま添付するのがトータルでリスク低そう >>56
元々使いものにならないので存在しないも同然 >>11
完全な正解は存在しない
オンラインストレージ含めたクラウドサービスは契約問題が解決困難
自分と相手とクラウド業者の三者間で秘密保持契約が必要だけど、
相手の数だけそれをやらないといけない >>53
アップロード先のサーバを誰がどう管理するかが最大のネック
ろくに管理されてないFTPサーバが乱立したらまあ悲惨なことになるよね
SMTPがファイル共有まで抱えるようになったのはそういうこと よくやり取りする会社とは、予め打ち合わせとかでパスワードを決めておけばいい >>9
口頭で伝えられるようなパスワードZIPじゃ
個人PCでも数分で解析されちゃうんだけどな・・・ まぁそれ以前にジャップ企業の情報を欲しがる奴なんてどこにもいないんだけどね >>67
解析は無理だよ
例えば
osewani-natte-orimasu
みたいな伝えやすいパスワードですら破れない
辞書攻撃みたいのもあるが、手間がかかり過ぎるので結局現実的じゃない
そのzip内に高く売れる機密情報が入っていることが事前に分かってないとやらないよ FAX「殿、我ならP2Pにて直接相手に届き、盗聴もされませんぞ」 これパスワードつき付きzipファイルの拡張子をdatとかに変えて、そのファイルをパスワードなしzipでアーカイブしたものを添付したら送れるんだろうか?
単純にパスワード付きを除外するシステムなら騙せると思うけどな >>70
>>67の言う「口頭で伝えやすい」が「パスワードの桁数が少ない」を
指すのであれば、>>67の話もあながち間違いでもないような 取引先のPCがなんでIIJの思う通りになると思ってんだ、クソ会社。
BOXやGoogleDrive、OneDriveも結局取引先にWebアクセス規制解除してもらわないとダメ。
メールもWebだめなら、もはやDVDとか暗号付きUSBしかねーんじゃねえの? >>75
それらのサービスへの切り替えられない情弱企業は淘汰されるってだけやろ
パスワード付きZIPは、標的型攻撃メールなんかと組み合わせて使われると
大きなセキュリティリスクになるってのがセキュリティ業界ではデフォに
なってるわけで
米国国土安全保障省の傘下機関のCISAだって、受信メールのパスワード付き
ZIPはブロックを推奨してるし
日本でも大きなところじゃ内閣府や日立製作所もとっくに廃止済みだし
デジタル改革大臣の平井だって、去年、廃止の方向で進めるべきって
方針出したじゃん
この状況下で情シスが動いてない方が遅いのよ 圧縮したらウイルススキャンをすり抜けるって暗号化なんだからそれが普通では
解析出来るなら暗号化の意味は無いし
ウイルス送信者も利用したってだけで それに暗号化の方が理由になっててメールで送信云々は関係ないやん
暗号化が理由ならメーだろうとクラウドだろうと同じやん ちょっと自分でも分かりにくい分だったので修正
暗号化でウイルススキャンが通り抜けるって話なら送信方法をクラウド経由にしても同じ事 >>9
zipファイルってスキャンすり抜けるんよ。。。 (1) データを暗号化してるからウィルススキャンをすり抜ける
のと
(2) メールでデータとパスワード送るからメールセキュテリィ破られたらデータ盗まれる
と言う話をごっちゃにしてる奴がいるな
(1) はクラウドだろうがFDだろうが同じで展開してウィルススキャンするしかない
(2) はパスワードを電話/Fax/手紙とかの別メディアで送るようにすればいい ■ このスレッドは過去ログ倉庫に格納されています