アステラス製薬が「脱PPAP」に思う
暗号化したZIPファイルをメールに添付して送信、その後パスワードをメールで送信する一連の流れを指してPPAPと言います。
ゼロ年代に自社でISMSを取得した際はこの手法が情報漏洩を防ぐ有効な手段とされていたのですが、最近は有効な手段ではないだけではなく、セキュリティリスクを高めるとも言われています。
有効な手順ではないという理由としては、パスワード送信メールを暗号化ZIPを送信したメールに、返信する形で送信するため送信先間違いのダブルチェックにはならないということ。本来は、別メールにすることによって2回チェックするから間違った人に贈る可能性が下がるに違いないという話なんですが人間楽な方に流れますからね。。。
セキュリティリスクを高める理由としては、暗号化ZIPにすることによってファイルの中身をメーラーなどが読み取れず、受信時のセキュリティチェックが甘くなるという点が挙げられます。
上記のような理由からここ最近は脱PPAPの動きがみられます。また、Gmailなんかでも暗号化ZIPの中にZIPファイルを保存し添付すると必ずはじかれたり、暗号化ZIPをつけているだけではじかれるケースもあるようです。
上記の記事によるとアステラス製薬あてに暗号化ZIPを添付してメールを送っても届かなくなるようですし、逆にアステラス製薬の方は暗号化ZIPを送信できなくなるようです。
「Emotet(エモティット)」も暗号化ZIPを攻撃手段として利用しているようなので、そういったセキュリティの穴になりそうなシステムは利用しないというのが、企業の責任になってくるのかもしれないですね。
この記事が気に入ったらサポートをしてみませんか?