【セキュリティ】それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは [朝一から閉店までφ★]
■ このスレッドは過去ログ倉庫に格納されています
セキュリティ・ホットトピックス
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
Innovative Tech
2023年02月06日 08時00分 公開
[山下裕毅,ITmedia]
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2
東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。
パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。
取引先や顧客など社外の相手とファイルの受け渡しを行う際、情報漏えい対策としてPPAPが国内の企業や公共団体を中心に広く利用されている。PPAPは、「P:Passwordつきzip暗号化ファイルを送ります」「P:Passwordを送ります」「A:Aん号化(暗号化)」「P:Protocol」の略である。
ファイルを間違えて違う相手に送信したり、ファイルを何らかの方法で奪われたりしても、別メールで送るパスワードがないと開けないという原理で漏えいを防ぐという理屈である。しかし、パスワードが書かれたメールもファイルを送る方法や経路が同じなため、セキュリティ性が低いというのが昨今の考えである。
その上、ファイルが暗号化されているため、近年ではマルウェア「Emotet」の拡散に使われるなど、情報漏えい防止に使用されているPPAPが、反対にマルウェアを拡散している事態に陥っている。
そのため、デジタル改革担当相は2020年11月の定例会見で中央省庁の職員が文書などのデータをメールで送信する際に使うPPAPを廃止する方針であると発表、次いで内閣府と内閣官房も廃止を発表した。これを皮切りに、さまざまな官公庁や企業などがPPAP廃止を発表した。
このように廃止する企業が出てきたが、セキュリティ性が低く(無効性)マルウェア拡散リスク(有害性)を抱えているにもかかわらず、まだまだ使われているのが現状である。
https://www.itmedia.co.jp/news/spv/2302/06/news047_0.html
続き >>17
10年前なら仕方ないが、最近導入したなら情シス首にすべき
>>69
昔は世界的に推奨されてたよ
そしてPマーク自体にそんな推奨事項はない
推奨したとしたらコンサル業者かバカな監査担当者 >>96
セキュリティのためブロックしてます
と言いながら添付ファイルにパスワードもつけずに送ってくるクソ会社の多いこと >>87
対策はあるんだから導入してないクソ情シスを抱えるクソ会社に勤めるクソ社員ってことだよ、君は。 >>93
読解力ないね
あと非TLSはまだ1割以上ある >>104
zipにパスワードかけさせる組織だったら素人運用じゃ無ければESMTPSでリレーさせるだろ。MXレコードみてリレーするから第三者のMTA経由する事も無い >>3
設備投資して償却がすんでないからだとおもう。
うちの会社PPAPダメだから更改しましょうと提案する側なのにPPAP使ってるw ワケ?一度決めたらやめられない無能集団だからだよ
取引先でこれ使ってる会社はみんな仕事のやり方が古臭い バカどもがハイパーリンク付きPDFとか送ってきて余計ややこしくなったんだが >>109
これが一番の問題だよな
セキュリティ対策は固定するんじゃなくてアップデートしなけりゃいけないのに
変化についていけないアホな経営者が多すぎる 自称意識高い系が未だに送ってくる
連投メールでアホやんと思いながら開く俺 >>102
パスワードは本日のYYYYMMDDですって添付メールの本文に書いてるの、まだたまにみる。
あれなんの意味があるのかまったく分からない。 >>117
今やってるのが一発で100%アウトだとか代替案が現実的な方法で100%安全ってのなら分かるけど
そんなのある? たぶんms365の提唱する
onedrive見に来てね、
がトレンドなんでしょ。
インストールやバージョン互換性を気にしなくていいし。
相手が混乱するかなと思って
まだあんまり活用してないけど。 >>1
zip暗号化ファイルだとスマホで開けられないから本当にマジで絶対にやめてくれ。 数字だけの8桁パスワードなんてすぐ割れそうなのにな うちはPPAP送信は廃止して受信も拒否にしたけど、送られて来たやつの復旧依頼が多くてほんとに困る。
デジタル相はこの件の啓発に本気で取り組んでほしいです。 >>118
リスクマネジメントを考えるときにゼロ百論法を持ち出すこと自体が誤りだし
PPAPは今まさにEmotetの標的になってるという具体的かつ明確な弱点である以上
変える以外の選択肢はない >>119
あの手のシステム導入する企業最近いるけど
メールにあるアドレスを踏むと罠サイトでウィルスダウンロードさせて感染させるっていう古来からのウィルス感染手口と同じ仕組みを安全性を理由に導入するとかどうかしてるぜっていつも思うわ >>126
メールのリンク一切踏ませない運用してるの?
大変ね >>127
>>126から「一切」って読み取るのか >>126
アンカ元の者ですが、
それ、わかるわー。
今のところテナントドメイン名を、onmicrosoft.comのままにしてるし
文書の共有リンクを発行すると、悪魔の呪文のようなurlになるのよね。
なので、社外の人にはまだ、
リンク開示の手法を使ってない。 ぶっちゃけこれよりHTMLメールやめろよって思うわ >>127
横から失礼
うちはあやしいリンクは踏まないように言われてる
あやしいって定義は難しいが
あと、HTMLメールは送らない、受けてもHTMLで表示しない、ってルールでやってる >>131
いまだにそんな20世紀対応してるのかよw >>131
こういう化石ルールでセキュリティ守れてると思ってる化石企業がPPAP使い続けてるのよね 今やメールが安全性が著しく低いサイバーアタックの入り口ツールになっちゃった
ヒューマンエラー多すぎるからな むかし仕事の依頼で、まあ大昔だがメールシステムの刷新の依頼がきて
でかすぎてやらなかったが、その弊害が出たか
潜水艦護衛艦の設備開発はしたが あいはぶあぺーん あいはぶああぽー うん! あぽーぺーん うちの会社PPAP廃止を宣言して何百万も掛けて全社にファイル交換導入したわ
社員や取引先がユーザー登録するのに実働60日かかる産廃だから誰も使ってないが >>138
たまにいるよね、ダメダメな会社に勤めてる自慢する謎な人 >>138-139
どっちの言い分も分かるよ。
客先にアカウント作らせたり、さらには先方の情シスにフィルタの設定変えもらわないといけないやつは
やっぱり本格運用までもってくのは相当に厳しいわ。
会社的にはこの仕組み入れたからこれでどうにかしろって感じだけも、
現実問題それで受け取れないんだからどうしろと言うんだみたいなケースはある。 ピコ太郎「PPAP」×YMO「Solid State Survivor」
https://youtu.be/tEJmtGN98NA 日本のセキュリティークリアランスが、脆弱なのは、日本のIT産業が、世界にくらべて、どうしようも無いほど、遅れてしまっているからです。日本のIT産業がこれほど遅れてしまったのは、NTTの既得権、利権にがんじがらめにされて、IT産業そのものが、長い間、成長出来なかったからです。日本にまともなセキュリティークリアランスが欲しいのなら、NTTの既得権、利権をぶち壊して、日本のIT産業が成長するのを、これから長く待つしかありません。高市早苗が命を賭けたからと言って、どうにかなる問題では無いのです。だいたい高市早苗自身が、NTTの既得権、利権にしがみ付いている寄生虫です。高市早苗は、NTTに勤めている菅義偉の息子に接待を受けています。 オンラインストレージに間違ってファイルあげるのやめてくれ ■ このスレッドは過去ログ倉庫に格納されています