「PPAP全面禁止」ってどういうこと！？

日ごろ、私はWebでニュース記事ををよく読みます。
見出しで気になった記事を開いて読むことが多いです。

先日も記事のタイトルを見ていたのですが、その中に「PPAP全面禁止」の文字が！

ちょっと前に流行ったなぁ。なんて思いつつピコ太郎を思い出しました。

当時、保育園児だったうちの子ども達も１日に何度も踊ってたなぁ。
なんて思いつつ、記事のカテゴリを見てみると「芸能」ではなく「IT」！？どういうこと！？

記事を読んでみると、日立製作所が2021年から「PPAP」を社内で禁止するとの記事でした。

私の頭の中ではペンとパイナップルと林檎がぐるぐる・・・。
うん、どういうこと！？

ここでニュースになっている「PPAP」について調べてみました。

ニュースになっている「PPAP」とは

ニュースになっている「PPAP」とは、ピコ太郎の「PPAP」をもじって考えられた造語です。

P　Password付きzipファイルを送ります
P　Passwordを送ります
A　Aん号化（暗号化）
P　Protocol

ピコ太郎の「PPAP」が流行った頃に「～プロトコル」って略称っぽい。って言う人がいたらしく、エラい人が問題提起する際に命名したらしいです。

ちょっと無理やり・・・。
でも、実際にIT関連の用語で「〇〇P」って略語は結構あるので、IT業界の人には新しい略語の様に感じた人が多かったかもしれません。

実際、「PPP（Point-to-Point Protocol）」って言葉もあります。
ちなみに「PPP」は電話なんかの回線を使って２点間通信をする為の取り決めの事です。

さて、今回の「PPAP」の話に戻ります。
「PPAP」は日本の多くの企業がメールでファイルを送るときのルールとしているといわれています。

手順は簡単。下記２ステップです。

そんなよく使われている取り決めが、なぜ急に禁止されるとニュースになったんでしょう？

平井卓也デジタル改革担当相が2020年11月24日の会見で内閣府、内閣官房で廃止すると発表した事が発端の様です。
今回、大手の日立製作所も禁止を発表した事でニュースのトレンドに入ったみたいです。

では何故、「PPAP」が禁止されるのでしょうか？

元々、「PPAP」は危険だと言われていました。危険だと言われる理由はいくつかあります。
特筆すべきは下記４つかと思います。

パスワード付き圧縮する理由が、メールを傍受された時に添付ファイルまで見られない様にする為でした。
しかし、添付ファイルを送ったルートと同じルートで解凍パスワードを送ると、パスワードのメールも傍受されると考えられるため、意味が無い。
多くの企業では、ファイルのzip化とパスワードの送信を自動で行っています。手動で行っていれば、誤送信した場合でもパスワード送付前に誤送信に気付く事ができるかもしれません。自動化されているとパスワードも送ってしまいます。
パスワード付きzipファイルは簡単にパスワード解析ができる為、パスワード付きzipファイルでの運用はセキュリティ対策として有用ではない。
添付ファイルがzip圧縮されている場合、もし添付ファイルがマルウェアに感染していたとしてもアンチウイルスソフトウェアなどでマルウェアが発見できない。

特に、４については過去にアップした記事「IcedIDにご用心！！」でも紹介しましたが、パスワード付きzipファイルが安置ウイルスソフトウェアにスキャンされづらい事を悪用し、マルウェア付きのパスワード付きzipファイルを送りつける事で感染させる手口が使われています。

特に最近は「EMOTET（エモティット）」や「IcedID（アイスドアイディー）」などのマルウェアの被害が拡大している事もあり「PPAP]禁止の動きはさらに加速していくのではないかと思います。