【情報セキュリティ対策】 IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除 [朝一から閉店までφ★]

■ このスレッドは過去ログ倉庫に格納されています
0001朝一から閉店までφ ★2021/11/15(月) 22:47:20.17ID:CAP_USER
2021年11月15日 20時24分 公開
[松浦立樹,ITmedia]

 インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。


https://image.itmedia.co.jp/news/articles/2111/15/l_tm1636144_iij1115_1_w490.jpg
IIJが発表した声明


 同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。

 今後、IIJは別のファイル共有手段に移行する方針で、顧客や取引先には個別に連絡するとしている。

 PPAPは、日本の企業を中心に広く普及したセキュリティ対策であったが、メールを傍受された時の情報漏えいリスクが高く、パスワード付きZIPファイルを装ったウイルスに攻撃されるリスクがあるため、専門家からは対策としてほぼ無意味と指摘がある。これに伴い、内閣府では20年11月からPPAPによる外部へのファイル共有を廃止し、共有ストレージを使った方法に変更していた。

https://image.itmedia.co.jp/news/articles/2111/15/l_tm1636144_iij1115_2_w490.jpg
PPAPの由来(JAIPA資料「くたばれPPAP!」より)



Copyright © ITmedia, Inc. All Rights Reserved.
 https://www.itmedia.co.jp/news/articles/2111/15/news148.html

0031名刺は切らしておりまして2021/11/15(月) 23:46:19.70ID:V+svm7cb
PPTPかとおもった

0032名刺は切らしておりまして2021/11/15(月) 23:48:13.37ID:20pHXour
フロッピーディスク郵送で

0033名刺は切らしておりまして2021/11/15(月) 23:51:08.00ID:FlIS0BFV
文系馬鹿に情報アクセス権を与えないのが正解

文系馬鹿は算数もできないのだから営業職すらこなせないだろ
肉体労働以外やらせなければ最高の情報セキュリティ環境になるぞ

0034名刺は切らしておりまして2021/11/15(月) 23:57:52.00ID:rDW5E6a+
電話だと聞き間違いとかあるからパスワードだけ郵送が一番
もしくは相手の情報がわかっていれば生体認証にしておくか

0035名刺は切らしておりまして2021/11/16(火) 00:01:57.11ID:+o8Tdkd+
こんなレベルの奴らが取引先なの?
やばくね。

0036名刺は切らしておりまして2021/11/16(火) 00:07:48.09ID:QT9482Wu
パスワードは電話かファックスで

0037名刺は切らしておりまして2021/11/16(火) 00:08:44.67ID:Tb3PUssP
日本の企業は決裁権あるやつらの頭が悪すぎてリスクマネージメントを放棄して丸投げするから無理だよ
だって全ての分野において当然な顔してゼロリスクを要求してくるんだから本当に一流大学の学歴って賢さとなんの関係もねーんだなって思うわ
海外、特にアメリカはリスクマネージメントが本当にお上手、世界一の軍隊があるからなんだろうなゼロリスクなんて追求せずリスクヘッジに予算を割いてインシデントが発生した場合の対応を徹底する
日本人はどこまで99.999…とありもしない幻想をお題目にして丸投げする頭の悪い奴らを排除しないと全ての分野で負け続けるよ

0038名刺は切らしておりまして2021/11/16(火) 00:16:59.36ID:hsBpZlvU
でもクラウド共有からDLし放題とかだろ。

0039名刺は切らしておりまして2021/11/16(火) 00:19:15.75ID:jcZGZZIj
なんだこのPPAPとかいう酷い略語は
IT業界の内輪ノリ寒すぎ

0040名刺は切らしておりまして2021/11/16(火) 00:34:43.12ID:vRHywJip
サイバーセキュリティ担当大臣がUSBの使い方を知らない国。
政権与党の重点政策「デジタル人材10万人プラン」にスマホ教室の講師が掲げられる国。

こんな国にセキュリティ対策なんて無理だろ。

0041名刺は切らしておりまして2021/11/16(火) 00:39:11.18ID:0hH3JoFC
未だにこんなんやってるとか00年代初頭の話じゃないのかよこれ

0042名刺は切らしておりまして2021/11/16(火) 00:43:37.45ID:E3Ym2OPX
PPAPでセキュリティなんか保てないのに、何故かやってるよな
なんの意味があるんだ?

0043名刺は切らしておりまして2021/11/16(火) 01:34:50.75ID:rWBEGIIb
やはり郵便でやるしかない

0044名刺は切らしておりまして2021/11/16(火) 01:36:12.95ID:LnpxC7Z4
その別のファイル共有手段って何かな

0045名刺は切らしておりまして2021/11/16(火) 01:37:18.19ID:uoPrXBpo
>>35
数年前だがT自動車もやってたな
しかも自動的にPPAPに変換するメールゲートウェイ製品(笑)利用

0046名刺は切らしておりまして2021/11/16(火) 02:37:40.32ID:GgyR8a4M
>>44
クラウドストレージ

国内だとこれが一番有名
https://www.nri-secure.co.jp/service/solution/crypto

外資だとこれが多い
https://www.box.com/ja-jp/home

0047名刺は切らしておりまして2021/11/16(火) 06:04:49.65ID:4T5r0JWv
全く同じメールアドレスに2通届くだけだから、間違った送り先でも2通とも届くわけだし、届いた方は中身確認できるし

うちの会社もPPAPソフトがOutlookにアドインされてるけどPPAP機能は使わなくても外部にメールを送れるし誰も使ってないというw

0048名刺は切らしておりまして2021/11/16(火) 06:23:41.00ID:nfDTHtpK
フロッピーを手渡しすればいいじゃん!

0049名刺は切らしておりまして2021/11/16(火) 08:11:06.53ID:cxGFN8B2
メールでURLとパスワード送るなら同じじゃないの

0050名刺は切らしておりまして2021/11/16(火) 08:26:21.25ID:AFGZmhW6
>>49
郵便書留でURL送って、パスワードは直接訪問で口頭伝達

0051名刺は切らしておりまして2021/11/16(火) 08:41:17.62ID:H8xf0zeA
というか、ファイル共有は、HTTPSでファイルアップロードするだけでいいじゃないの。

もっとやるなら、公開鍵暗号の「公開鍵」を自社のHTTPSのWebサイトで公開して、
それを使って暗号化してもらうとか。

まーしらんkど

0052名刺は切らしておりまして2021/11/16(火) 09:19:50.94ID:N/PWp1/B
>>51
それでいいよ
実際そういうシステムいれたところもある

0053名刺は切らしておりまして2021/11/16(火) 09:42:05.09ID:fhh4GBQJ
>>51
いやそもそもの話としてファイルの送付手段にメール使うってのが
SMTPができた当初から想定外
だからセキュリティ的に解決策がない
ファイルの送付はftpか時点でhttpにすべき
テキスト以外のSMTPなんか問答無用で削除でいい

0054名刺は切らしておりまして2021/11/16(火) 09:47:47.41ID:ZqRweWyO
>>2
はやいなあ

0055名刺は切らしておりまして2021/11/16(火) 10:12:01.49ID:g6pRK+g5
ファイル共有は使う側が細かく共有範囲を策定しないといけないだろうから面倒がると思うけどな
海外とかどうしてるんだろ

0056名刺は切らしておりまして2021/11/16(火) 11:34:47.51ID:RoJ5jktg
PGPやS/MIMEは許されたの?

0057名刺は切らしておりまして2021/11/16(火) 16:19:19.73ID:vKG1JYFJ
>>16
自分は今もやってるわ
社外に20MB程度のデータを送る場合は5通くらいに分ける
でも最近、最近は受信側も20MBくらいなら一括受信できると知った

0058名刺は切らしておりまして2021/11/16(火) 18:31:26.32ID:NZVaQCXI
>インターネットイニシアティブ(IIJ)は

   ∧∧     ┌──────────
  ( ´ー`)   < シラネーヨ
   \ <     └───/|──────
    \.\______//
      \       /

0059名刺は切らしておりまして2021/11/16(火) 19:02:46.59ID:E3KNWPtf
USBメモリを郵送しよう
邪魔な保護シールを剥がして御社PCに差し込んでください
時間との勝負です

0060名刺は切らしておりまして2021/11/16(火) 20:07:33.81ID:Qz92l1Vx
PPAPの代わりとして現実的なのはオンラインストレージだけど、
メール文中のURLに脳死でアクセスする癖をつけさせると、
それはそれでフィッシングの餌食になるんだよなあ

もう経路暗号化は諦めて海外みたいにそのまま添付するのがトータルでリスク低そう

0061名刺は切らしておりまして2021/11/16(火) 20:09:48.20ID:Qz92l1Vx
>>56
元々使いものにならないので存在しないも同然

0062名刺は切らしておりまして2021/11/16(火) 20:22:13.12ID:gvd+4Dyf
>>11
完全な正解は存在しない

オンラインストレージ含めたクラウドサービスは契約問題が解決困難
自分と相手とクラウド業者の三者間で秘密保持契約が必要だけど、
相手の数だけそれをやらないといけない

0063名刺は切らしておりまして2021/11/16(火) 20:31:31.04ID:3xHt8O6m
>>53
アップロード先のサーバを誰がどう管理するかが最大のネック
ろくに管理されてないFTPサーバが乱立したらまあ悲惨なことになるよね
SMTPがファイル共有まで抱えるようになったのはそういうこと

0064名刺は切らしておりまして2021/11/16(火) 20:32:19.65ID:E3Ym2OPX
よくやり取りする会社とは、予め打ち合わせとかでパスワードを決めておけばいい

0065名刺は切らしておりまして2021/11/16(火) 20:41:42.13ID:jGEKVo7V
>>9
圧縮ファイルが問題なんだよ

0066名刺は切らしておりまして2021/11/16(火) 20:44:27.38ID:QLX3aQJK
底抜けかよ

0067名刺は切らしておりまして2021/11/16(火) 20:47:19.41ID:8f5SzOZY
>>9
口頭で伝えられるようなパスワードZIPじゃ
個人PCでも数分で解析されちゃうんだけどな・・・

0068名刺は切らしておりまして2021/11/16(火) 22:47:50.12ID:nliHg55X
まぁそれ以前にジャップ企業の情報を欲しがる奴なんてどこにもいないんだけどね

0069名刺は切らしておりまして2021/11/17(水) 09:50:17.01ID:0CTUKh86
大して圧縮されてないし

0070名刺は切らしておりまして2021/11/17(水) 11:09:11.39ID:P9R6Gv6k
>>67
解析は無理だよ
例えば
osewani-natte-orimasu
みたいな伝えやすいパスワードですら破れない

辞書攻撃みたいのもあるが、手間がかかり過ぎるので結局現実的じゃない
そのzip内に高く売れる機密情報が入っていることが事前に分かってないとやらないよ

0071名刺は切らしておりまして2021/11/17(水) 11:24:11.56ID:6+k61Z34
FAX「殿、我ならP2Pにて直接相手に届き、盗聴もされませんぞ」

0072名刺は切らしておりまして2021/11/18(木) 05:55:16.59ID:4pRFgkG/
これパスワードつき付きzipファイルの拡張子をdatとかに変えて、そのファイルをパスワードなしzipでアーカイブしたものを添付したら送れるんだろうか?
単純にパスワード付きを除外するシステムなら騙せると思うけどな

0073名刺は切らしておりまして2021/11/18(木) 09:12:45.43ID:LplhxyCb
>>70
>>67の言う「口頭で伝えやすい」が「パスワードの桁数が少ない」を
指すのであれば、>>67の話もあながち間違いでもないような

0074名刺は切らしておりまして2021/11/18(木) 09:50:34.90ID:g6v6uthD
>>2
ちっ

0075名刺は切らしておりまして2021/11/18(木) 12:19:06.53ID:RtsCxo9h
取引先のPCがなんでIIJの思う通りになると思ってんだ、クソ会社。
BOXやGoogleDrive、OneDriveも結局取引先にWebアクセス規制解除してもらわないとダメ。

メールもWebだめなら、もはやDVDとか暗号付きUSBしかねーんじゃねえの?

0076名刺は切らしておりまして2021/11/18(木) 12:49:43.01ID:LplhxyCb
>>75
それらのサービスへの切り替えられない情弱企業は淘汰されるってだけやろ

パスワード付きZIPは、標的型攻撃メールなんかと組み合わせて使われると
大きなセキュリティリスクになるってのがセキュリティ業界ではデフォに
なってるわけで
米国国土安全保障省の傘下機関のCISAだって、受信メールのパスワード付き
ZIPはブロックを推奨してるし

日本でも大きなところじゃ内閣府や日立製作所もとっくに廃止済みだし
デジタル改革大臣の平井だって、去年、廃止の方向で進めるべきって
方針出したじゃん

この状況下で情シスが動いてない方が遅いのよ

0077名刺は切らしておりまして2021/11/19(金) 22:05:20.53ID:A4k1hyPF
圧縮したらウイルススキャンをすり抜けるって暗号化なんだからそれが普通では
解析出来るなら暗号化の意味は無いし
ウイルス送信者も利用したってだけで

0078名刺は切らしておりまして2021/11/19(金) 22:07:23.41ID:A4k1hyPF
それに暗号化の方が理由になっててメールで送信云々は関係ないやん
暗号化が理由ならメーだろうとクラウドだろうと同じやん

0079名刺は切らしておりまして2021/11/19(金) 22:10:37.56ID:A4k1hyPF
ちょっと自分でも分かりにくい分だったので修正

暗号化でウイルススキャンが通り抜けるって話なら送信方法をクラウド経由にしても同じ事

0080名刺は切らしておりまして2021/11/19(金) 23:02:12.29ID:EO9aYlqC
>>9
zipファイルってスキャンすり抜けるんよ。。。

0081名刺は切らしておりまして2021/11/20(土) 10:00:18.42ID:henIhUSJ
(1) データを暗号化してるからウィルススキャンをすり抜ける
のと
(2) メールでデータとパスワード送るからメールセキュテリィ破られたらデータ盗まれる
と言う話をごっちゃにしてる奴がいるな
(1) はクラウドだろうがFDだろうが同じで展開してウィルススキャンするしかない
(2) はパスワードを電話/Fax/手紙とかの別メディアで送るようにすればいい

■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★
Donguri System Team