spliti 〜「メールでパスワード別送」セキュリティ的にはNG　いまだはびこる「PPAP」問題

ファイルをメール送信するとき、まずパスワード付きのzipファイルを送り、続いてパスワードを別送するという方法が広く使われてきた。セキュリティへの配慮から生まれた方法だが、実は意味がないのだという。

9月3日におこなわれた弁護士業務改革シンポジウム（主催・日弁連）の第1分科会で、情報セキュリティにくわしい吉井和明弁護士が解説した。

●「パスワード別送」がダメな理由

パスワード付きzipファイルとパスワードの別送は、俗に「PPAP」と呼ばれる。ペンとリンゴをくっつけるピコ太郎の芸ではなく、ITコンサルタントの大泰司章さんが命名したもの。具体的には以下の頭文字をとっている。

P：パスワード（Password）付きzip暗号化ファイルを送ります
P：パスワード（Password）を送ります
A：暗号化（Angoka）
P：プロトコル（Protocol＝手順）

別送したところでメールが傍受されていれば、パスワードもバレてしまう。また、アドレスを手打ちしていれば誤送信のリスクは下がるかもしれないが、実際にはコピペなどが利用されがちで、2通とも同じ相手に届いてしまうリスクがある。

さらに、zipファイルにすると、ファイルの中にウイルスが入っていてもセキュリティソフトで検知できないという。

●重要なファイルはメール以外で送る

そもそもファイルをメールで送ると、受信者のメールボックスに自分のファイルを複製することになり、自身のコントロールから切り離すことになるので、重要なファイルはメール送信すべきではないと、吉井弁護士は指摘する。

そのため、重要なファイルについては、オンラインストレージやファイル転送サービスを利⽤するとよいという。

また、パスワードについては、たとえばチャットやメッセンジャーサービス、電話など、送信したものとは別のルートで伝えることが望ましい。あらかじめ、打ち合わせなどの際に、共通のパスワードを決めておくと便利だという。

「クライアントにPPAPをやめさせるのは難しいと思うが、少なくとも弁護士側からやることではない。率先してやめていくというのがあるべき姿ではないかと思っている」（吉井弁護士）

「メールでパスワード別送」セキュリティ的にはNG いまだはびこる「PPAP」問題