金融庁、金融機関にパスワードつきZipファイルの電子メール送付の慣行を改めるよう要求との報道
銀行や証券会社、保険会社など金融業界向けの専門紙「ニッキン」の電子版「ニッキンONLINE」が、金融庁が金融機関にパスワード付きのZipファイルを電子メールで送付する慣行を改めるように要求すると報じています。
金融庁は今後の検査やモニタリングを通じて、慣行が是正されているかの確認も行うとのことです。
PPAPは脆弱性をもたらす
パスワード付きのZipファイルによるメール送信は通称「PPAP」と呼ばれています。
PPAPという通称はこの手法の手順である「Password付きZipファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」を略したものとされています。
この手法は、誤送信などでメールの添付ファイルが漏洩したとしても、パスワードは別メールになっているため添付ファイルの内容を見られないという、セキュリティの向上を意図したものです。
しかしメールの通信経路上で漏洩してしまった場合には意味がないこと、パスワード付きZipファイルの暗号化は総当たりで比較的容易に突破できることなど、現在では十分なセキュリティ対策とはいえない手法であると考えられています。
それだけでなく、Zipファイル内にマルウェアが含まれていたとしても暗号化されているためにウイルス対策ソフトなどのスキャンが働きにくく、逆にメールにおける脆弱性のリスクを高めてしまう手法です。
こうした理由により、数年前からすでに多くの企業ではPPAPによるメールの送信は行われなくなっています。
金融機関のセキュリティ向上に向けたPPAP廃止へ
今年(2025年)1月には警視庁が、日本の安全保障や先端技術などの情報窃取を目的とした組織的なサイバー攻撃のキャンペーンが行われていると警告を発しているように、金融機関のような社会的インフラを担う組織はサイバー攻撃のターゲットとなりやすく、セキュリティの向上は急務です。
こうした状況を背景に、金融庁による金融機関に対するPPAP慣行廃止の要求と今後のモニタリングによる是正確認は、金融機関におけるセキュリティの向上を目指したものといえます。
そしてこれにより、日本におけるPPAPの利用がほぼ根絶されることを期待したいものです。
あわせて読みたい
Docker、CVE脆弱性がほぼゼロのセキュリティ強化型コンテナイメージ「Docker Hardened Images」提供開始
≪前の記事
Visual Studio Codeが本体にAI関連機能を組み込みへ、「オープンソースのAIエディタ」になると表明
