【セキュリティ】それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは [朝一から閉店までφ★]
■ このスレッドは過去ログ倉庫に格納されています
セキュリティ・ホットトピックス
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
Innovative Tech
2023年02月06日 08時00分 公開
[山下裕毅,ITmedia]
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2
東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。
パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。
取引先や顧客など社外の相手とファイルの受け渡しを行う際、情報漏えい対策としてPPAPが国内の企業や公共団体を中心に広く利用されている。PPAPは、「P:Passwordつきzip暗号化ファイルを送ります」「P:Passwordを送ります」「A:Aん号化(暗号化)」「P:Protocol」の略である。
ファイルを間違えて違う相手に送信したり、ファイルを何らかの方法で奪われたりしても、別メールで送るパスワードがないと開けないという原理で漏えいを防ぐという理屈である。しかし、パスワードが書かれたメールもファイルを送る方法や経路が同じなため、セキュリティ性が低いというのが昨今の考えである。
その上、ファイルが暗号化されているため、近年ではマルウェア「Emotet」の拡散に使われるなど、情報漏えい防止に使用されているPPAPが、反対にマルウェアを拡散している事態に陥っている。
そのため、デジタル改革担当相は2020年11月の定例会見で中央省庁の職員が文書などのデータをメールで送信する際に使うPPAPを廃止する方針であると発表、次いで内閣府と内閣官房も廃止を発表した。これを皮切りに、さまざまな官公庁や企業などがPPAP廃止を発表した。
このように廃止する企業が出てきたが、セキュリティ性が低く(無効性)マルウェア拡散リスク(有害性)を抱えているにもかかわらず、まだまだ使われているのが現状である。
https://www.itmedia.co.jp/news/spv/2302/06/news047_0.html
続き このクソみたいな名称、方式考えたバカは死んだ方が良い パスワードを定期的に変更しろってやつもいい加減なくしてほしい やってる感が出るからいいだろ日本で一番大事なのはやってる体 パスワード定期変更とかpマーク奴らは否定してるけど日本だけということはjis規格のみのpマークが原因としか思えないんだよな パスワードはメールで送ってくるが、データ本体は別だな。 うちの会社なんてわざわざ強制PPAPメールシステムいれやがったよ >>5
s://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf
これが元ネタらしい
パワポっぽいから多分講演か何か用に羅列しただけなんだろう
>ピコ太郎?
ピコ太郎が先でこれの名付けが後らしいな
>こんなクソみたいな名称、方式
恐らくは糞みたいな方法だけ先にあって、後で糞みたいな方法だと思った人がバカにするためにバカみたいな名付けしたんだと思うよ >>14
別にそんなんしなくてもPマーク取れるから関係ないと思うよ マルウェア拡散リスクというが、具体的にどういうケースで被害が出る?
すぐには思いつかない。 他にどうすればいいのかわからない
原価の載ったファイルとかそのまま送れない >>22
Google Driveとかで共有かければ? 大手電機メーカーとかみかかとかが提供しているファイルダウンロードサービスって
PPAP対策と言いながら、同じメアドに暗号化データのありかとパスワード送ってるのが草生えるわw
ウイルス対策以外MITMの問題なんにも解決してないじゃん、バカなの死ぬの? パスワード付きzipはダメだな
PGPで暗号化して、パスフレーズをメールにしよう 非対称鍵管理が一般人にはハードル高いよ
うっかり秘密鍵送ったりしそうだし セキュリティーに金かけるのがもったいないからだろ
そして漏洩したら「セキュリティー対策はやってた」っていういいわけに使う
貧乏な上にセキュリティー意識0の経営者ばっかり
自分の役員報酬上げることしか考えてない >>20
Emotetはド直球のリスクやで
>>28
1対1や数人程度の小規模ならそれでもいいんだろうけど、ファイル共有とかグループウェアとかが発達したからね faxの時代も違う客に見積り送って仕切値の低さにブチギレされたり。いや聞いた話だけど。 >>18
おそらくも何もその通りじゃん
パスワード付きZIPとパスワードで送る方式は2000年初頭にはもうあっただろ
デファクトスタンダードになったのは2010年頃だけど
まともな職歴ないとか・・・? >>27
相手の秘密鍵のパスフレーズがなんで分かんだよw >>36
マトモな職歴があるならもう少し日本語が読めるようになろうな
糞みたいな名前と方法というレスに対して「方法は言うまでもなく考えた奴、温存する奴が糞だが、名前は糞扱いするためにわざとそういう名付けした」という指摘な
そして「命名した人の意図なんか知らんし知る方法がない」から推論として提示してるのね >>20
暗号化ZIPはウィルス対策ソフトが中を参照できなくて検閲できない
あかんやつはメール鯖やアプライアンス通るあたりで削除させることも可能なんだがそれができない PPAPが2000年代からあってもっと真剣に取り組んでたなら、ピコ太郎が流行ってからやっとこそれっぽいバカにするネタに準えられる事もなかっただろうな
Pasword-Protected ZIP and Password Separately Mailing Protocol ぐらいのマトモな名前位にはなってたかもな 古坂大魔王もうれっこになったものだな
隔世の感があるわ ピコ太郎の歌ってセキュリティを歌ってたのか
奥が深かった 調べるとPPAP自体というよりメールの非暗号化送信問題じゃん
これつかえばPPAPできるかと
Signal (ソフトウェア)
出典: フリー百科事典『ウィキペディア(Wikipedia)』
Signalは、Signal Foundationが開発しているオープンソースのメッセンジャーソフトウェアである。
すべての通信内容がエンドツーエンドで暗号化されるため非常に高いセキュリティレベルが確保される。
Signalは、電子フロンティア財団が定める「最もセキュアなメッセンジャーリスト」で、7つの調査項目の全てをクリアしている。
また、アメリカ合衆国上院議員の公式な連絡ツールとして認められている。
その他、インターネット監視プログラム「PRISM」を内部告発した、内部告発者のエドワード・スノーデンも、秘匿性の高さを評価した。
また、Signalで採用されているエンドツーエンド暗号化は、運営者や管理者、途中で経由するすべてのサーバ所有者のいずれも、会話内容を盗聴することは出来ない仕組みになっている。
送信者の秘匿化
Signalは2018年、実験的機能として「送信者の秘匿化(Sealed sender)」を導入した。
これは、それまでは暗号化されていなかった、送信者に関する情報も暗号化することで、より一層プライバシー保護と秘匿性を強化する機能である。 >>38
まともな職歴がなさそうw
普通は
「従来から業界に蔓延ってたパスワード付きZIPメールというアホな方式の危険性を啓蒙する為に、2020年に大泰司章氏がキャッチーな名称としてピコ太郎のPPAPをもじって言い出した」
みたいに書くでしょ
事実と憶測をキッチリ分けて書くのはビジネスの基本中の基本なわけで >>36
当時からバカ丸出しの方式だよなと思ってたけど
誰も使わなかったのをバカが掘り出したからこうなつてる >>49
ほんと馬鹿だよな
なんで同じ手段でパスワード送ってんだか 住○不○○販売が使ってくる
パソコンで見るならいいけど、外出時にスマホで見るときはウザい
「いまPDF送りましたけど〜見られます〜?」って電話が来るとさらにウザい
お・ま・え・が・邪・魔・し・て・ん・だ・よ!って言いたくなる >>47
いやそう言う問題じゃなくて送る相手を間違った時の為でしょ。
zipパスワードを送る段階までに気が付かないとダメだけどね。
通信経路の話はまた別 パスワード付きzip PPAP 問題について
NECセキュリティブログ
パスワード付きzip(PPAP)の危険性
ファイルを共有する際にパスワード付きzipファイルをメールで送信し、あとからメールでパスワードを送信するという方法は現在もよくつかわれている方法なのではないでしょうか。
しかしこの方法はセキュリティ面で多くの問題があります。
zipの暗号強度
zipの暗号化方式にはZipCryptoとAES-256という二つの方式があります。
暗号の強度はAES-256の方が高いのですが、幅広いOSで採用されているZipCryptoを使われることが多いです。
強度の低いZipCryptoを使用し、安易なパスワードを設定した場合、パスワードが攻撃者の手元になくても専用のツールを使うことで短い時間でパスワードを突破されてしまう可能性があります。
パスワード付きzipファイルとパスワードが同じ通信経路で送られている
パスワード付きzipファイルが攻撃者によって窃取された場合、同じ通信経路で送信しているパスワードも攻撃者に同様に窃取されてしまうことが予想できます。
そのためメール盗聴でzipファイルが流出した際のセキュリティ対策になっていません。
パスワード付きzipファイルを用いマルウェア対策製品を回避するマルウェアが存在する
通常、マルウェア対策製品がzipファイルをスキャンする場合、解凍しスキャンを実行しますが、パスワード付きzipの場合、マルウェア対策製品はzipファイルを解凍することができずパスワード付きzipファイルはスキャンを回避してしまう可能性があります。
IPAによると、2020年9月以降パスワード付きzipを用いた「Emotet」の事例が観測されているようです。
https://jpn.nec.com/cybersecurity/blog/210108/index.html >>48
これのどこに「事実と憶測を区別している要素がある文章」だと思ったのか小一時間 暗号強度は上げれば済むとして
パスワード盗まれると、ウイルスチェック不可能問題だな
クラウドアクセスにすれば、ウイルスチェックはできるし、スマホに認証コード送るなどしてセキュリティ高められるな マジで滅ぼせよコレ
というか条例か何かで禁止しろ
百害あって一利なしの典型だぞ >>48
あと、論旨が全く読めてないようなので再度確認しておくけど
『馬鹿みたいな名称と方法』についての話なのでその例示の論旨ですら既に不適当なんだがな
ピコ太郎に準えてキャッチーにしたかどうかじゃないの
PPAPの『名称と手法、それぞれにおけるバカさ加減の性質やベクトルの違いの話』な
そもそもPPAPの初出がその人物という確証あるのという
詳細に本人聞き取り等で調べてないなら憶測でしかないだろ?というね
そうではないのだというならまずは誰彼が初出だという証拠をどうぞ ついでに言えば、
PPAPを命名したとされる『時期』が既に2020年だったり2019年だったりと
表記揺れがある時点で誰も確証を持ってないってのがわかる
そんな情報を断定的に2020年に、って言ってちゃあおしめぇよ ppapやめて各々セキュリティを導入するから、
ファイル受け取れません届きません問題が割と起きてる
かつてもzipのpを削除してziにして送ってください問題とかあったしな Googleドライブの安全性について
検索エンジンで圧倒的なシェアを誇るGoogleが提供するオンラインストレージサービス。
Googleのセキュリティは強い
Googleドライブに限らず、Googleには、Gmailや、Googleドキュメント、Googleマップなどの膨大な人数が利用するクラウドサービスが多数あります。
そんなGoogleサービスのセキュリティやプライバシーを担当するのは、当然その領域の専門家達で、他のサービスと比較してもGoogleはかなり高度なセキュリティ技術を持っているといえます。
データ漏洩のリスクにも対応している
Googleはクラウドサービスの信頼獲得の上で欠かせない、データセンターのセキュリティ対策には、特に力を入れています。
各種データはディスク上での暗号化はもちろん、インターネット上での通信時にも暗号化が行われています。
また、機械学習でも最先端を行くGoogleは、不審ログインの検出にも機械学習を利用しています。
物理的なセキュリティとしては、施設の外周をフェンスで囲い、金属探知機の導入も行っています。
施設内部でも、電子アクセスカードや、生体認証やレーザーを利用した侵入検出機能なども利用しています。
データが消えた、という事例もない
クラウドサービスを利用する際の懸念点として、データの消失があります。
しかし、Googleのデータは、世界中のデータセンターに何重にもバックアップされており、データ消失のリスクは現状かなり低いと考えられます。
また、Googleはこれまでデータ紛失について問題を引き起こしたという事例は全くありません。
https://www.cloud-security.jp/blog/googledrive-security-corporation >>62
量子コンピューターの処理速度が上がると、現代の暗号はすべて破られる。
いわゆるネットの核爆弾 PPAPは今の時代間違いではない
異文化を合体させて新たな便利道具やサービスを構築するのが勝利の鍵だ
タブレット注文も維持コストからQR注文に変わるだろう パスワードは郵便で送らなきゃ
FAXならもっと早いぞ パスワードはうちの電話番号です…シグネチャにデカデカと電話番号書いてあったりする。 >>14
数年前までPマーク団体の奴らは推奨してたよ 圧縮ファイルをフロッピーディスクに入れてヤマトで送って、パスワードは郵便で送るが正解 古いもの好き、新しいもの嫌いのオッサンだろ
新技術の安全が理解できないを含む PPAPのAが暗号?
Code/CipherのCではないのか? そもそもPPAPとかいうわけわかんねー呼び方してること自体がセキュリティじゃない 次がないんだよね
365のOutlookで添付ファイルを自動的にオンラインストレージで管理してくれるサービス
やってくれたらいいんだけど ジャップさん、吉野家の今度は紅生姜を直喰いwwwwwwwww撤去か [271912485]
https://greta.5ch.net/test/read.cgi/poverty/1675686618/
WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW うちもppapだわ。
年末にMS365に変わるからその際に変更になる予定。 じゃあどういう方法使えばいいの?
Googledrive?MEGA? >>83
Googleドライブ以外と使えるぞ
共有フォルダ作って許可した人だけアクセスさせてる
あとはboxか アホな話よ
送信だけではなく受信側がPPAPじゃないと受け取れない
というクレームが官公庁と命を預かる現場であんのよ クソ長いパスワードを設定したzipをメールで送って、パスワードは電話で口頭で伝えるのが一番安全…というのは極端だが、大事なデータならもっと頭使うか手間暇かけろとは言いたい。手間はかかるが安全性は低いPPAPはクソ >>12
なんも仕組みがない状態ではそれなりに合理性がある。
何も手当せずにPPAPだけやらなくなるのはアホ。
あらかじめ登録したアドレスにしかメールは送れなくするとか、
PPAPに変わる対策が必要。 >>87
PPAPやってるだけでセキュリティリスク上がるんだよ
合理性なんて一ミリもない
一刻も早く無くさないと まるで、ZIPでジッパーでチンポが焼かれるような騒ぎだな
ZIPでどうとか >>87
現場としてはそうだわ
セキュリティリスクがあるから云々ってのは、ガンになるから発ガン性物質を食べないって言ってるのに近い メールサービス自体がsslで暗号化してれば
経路上の横取りもできない。
逆に、間違ったアドレスに送ったときに自動PPAP装置使っても
同じアドレスにパスワード送られるので「見せたくない人に見せない」解決法にはならない。
メールの接続情報を盗まれないよう気を付けなさいってのが一番重要。 >>91
いや今時素人運用でも無きゃESTPS(TLS)で秘匿されてるだろ。 しかし日本企業だと公開鍵暗号方式にしたら、フロッピーで公開鍵のやり取りしそう 受け渡し用にbox導入したけど、送り先でクラウドストレージへの通信を遮断してるところが多すぎて、
結局どこでも対応できるメール添付でやっちゃってる人がすごく多い。 主旨とは無関係で、俺が機材を調達して開発して
なんかつくるの白人の大馬鹿とかそれに続くNTTの大馬鹿で役立たずで
警戒してないか
チンポまで襲ってきてる PPAPを止めりゃ良いってもんじゃないからな…
電子メール使ってる限り、根本的にはどうにもならん PPAPは、メールサーバーで情報収集できなくなるから、GoogleやMSとしては困る ■ このスレッドは過去ログ倉庫に格納されています
