ビジネスを加速させるワークスタイル(第15回)
似ているようで違う、法人向け光回線の選び方
事例で学ぶセキュリティインシデント(第17回)暗号ファイルとパスワードを別メールで送るPPAPのリスク
公開日:2024.10.15
-
-
ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。
関西で日用品を製造・販売するQ社の商品企画担当者からIT担当者に電話があった。「まだ発表前の新商品情報が外部に漏れているようです。私たちと一緒に調べてもらえませんか」。新商品の製造準備のため、工場の製造課長にいつものように「PPAP」で製品仕様書の添付ファイルをメールで送信したという。「危惧していたが、PPAPの添付ファイルから情報が盗まれた可能性もある」とIT担当者はつぶやいた。
悪意のある第三者に添付ファイルが盗聴される恐れも
PPAPは添付ファイルをZIP暗号化してメール送信した後、別メールで暗号を復号するためのパスワードを送信する仕組み。長らく、メールセキュリティの手段の1つとして企業や官公庁などでも利用されてきた。だが、2020年頃に当時のデジタル改革担当大臣が内閣府でのPPAP廃止を宣言したことから話題となり、民間企業でもPPAPを廃止する動きが広がった経緯がある。
では、PPAPの何が危ないのか。1つは、暗号化した添付ファイルとパスワードを別のメールとはいえ同一経路で送信することから、悪意のある第三者に盗聴される恐れがあるためだ。また、添付ファイルを暗号化してメール送信するので、受信側のウイルスチェック機能が働かない可能性がある。万一、ウイルスがZIPファイルに紛れ込んでいた場合、メールの受信者はウイルス感染する恐れもある。
そして、悪意のある第三者にメールを盗聴されないまでも、メールの誤送信で社内・社外の無関係の人にメールが送られる危険性もある。その人にパスワードを記載したメールも届くため、情報漏えいの原因にもなりかねないリスクがあるのだ。
加えて、メールの送受信にかかわる手間が増える問題もある。添付ファイルを送信する際、ファイルの暗号化とともに、別メールでのパスワード送信を自動化するツールもあるが、受信側は添付ファイルの復号化のためにパスワードを入力(コピー&ぺースト)する必要がある。セキュリティ確保のために仕方がないと思いつつ、添付ファイルを開く人もいるのではないだろうか。
非公開の情報を見た会社から取引を持ちかけられる…
続きを読むにはログインが必要です
\ かんたん入力で登録完了 /
執筆=山崎 俊明
【TP】
あわせて読みたい記事
「脅威・サイバー攻撃」人気記事ランキング
連載バックナンバー
事例で学ぶセキュリティインシデント
- 第18回 情報漏えいにつながるルール違反のUSBの利用 2024.11.14
- 第17回 暗号ファイルとパスワードを別メールで送るPPAPのリスク 2024.10.15
- 第16回 端末の盗難・紛失リスクに備える 2024.09.12
- 第15回 安心な端末利用を支援する「エンドポイントセキュリティ」 2024.08.15
- 第14回 管理の目が届きにくいIoTデバイスが狙われる 2024.07.16
- 第13回 対策が脆弱な業務委託先が狙われるサプライチェーン攻撃 2024.06.17
- 第12回 使い回しのID、パスワードが盗まれて不正アクセスの被害に 2024.05.21
- 第11回 感染被害が後を絶たないランサムウエアの脅威 2024.04.22
- 第10回 社内ネットワークにつながる複合機のセキュリティリスク 2024.03.12
- 第9回 対策の不備が信用問題になりかねないWebサイトの改ざん 2024.02.15
- 第8回 情報漏えい事故の引き金となるメール誤送信を防ぐ 2024.01.18
- 第7回 対策が手薄になりがちなリモート拠点が狙われる 2023.12.14
- 第6回 危うく引っかかるところだったビジネスメール詐欺 2023.11.16
- 第5回 うっかりパソコンを置き忘れ。ハイブリッドワークの落とし穴 2023.10.17
- 第4回 メール攻撃を防ぐための原則は「不審な添付ファイルは開かない」 2023.09.19
- 第3回 取引停止の恐れもあるサプライチェーン攻撃 2023.08.18
- 第2回 取引先に送ったメールの添付ファイルがウイルス感染 2023.07.21
- 第1回 端末の隔離など的確な対応でランサムウエア感染拡大を防ぐ 2023.06.27
オンラインセミナー動画
