PPAPとは!?見直されるパスワード付きZIPファイル 情報セキュリティのPPAP禁止 | SEからの脱出日記 サーバー ネットワーク パソコン備忘録
PC

PPAPとは!?見直されるパスワード付きZIPファイル 情報セキュリティのPPAP禁止

こんばんは!昨年、ネットサーフィンをしていたら「PPAP禁止」という記事を目にしたので調べました。

PPAPとは?

PPAPは、ピコ太郎さんの大ヒット曲「PPAP(ペンパイナッポーアッポーペン)」で一躍ブームにもなりました。ですが今回紹介するPPAPはセキュリティーのPPAPです。

日本の会社では習慣化している2通目に添付ファイルのパスワードを送る方法の事をPPAPと指しています。

PPAP
  • Password付きZIPファイルを送ります
  • Passwordを送ります
  • Aん号化(暗号化)
  • Protocol(プロトコル)

なんとも強引な名づけ方だと思いましたが、「PPAP禁止」と話題性にあげるためにも無理矢理名付けたのかもしれません。

何故PPAP禁止なのか?

何故、PPAP禁止をするかというと、近年Emotet(エモテット)というメールの攻撃手法でウイルスが世界中で大流行しており問題となりました。

通常のZIPファイルの場合、ウイルス対策ソフトは、ZIPファイルを解凍しスキャン出来ます。

しかし、パスワード付きZIPの暗号化をすると、ウイルス対策ソフトはパスワードがかかっている為、解凍が出来ずスキャン不可のままセキュリティをかいくぐってウイルス付きのZIPファイルを受信者に渡すことが出来ます。

受信者の手元に渡ったウイルス付きのZIPファイルはパスワードを使いファイルを開いてしまう事でウイルスに感染してしまうのです。

IPA(情報処理機構)によると、2020年9月にEmotetによるパスワード付きzipの被害報告が紹介されております。

ZIPパスワード付きファイルは意味がない!?

日本社会では、ZIPファイルにパスワードを付けて2通目にパスワードを送信というのが習慣化しています。

この習慣は、「メール誤送信の為」と「セキュリティの為」と思われていますが、実は悪意のあるクラッカーからするとセキュリティ面では、あまり意味のない行為です。

同じメール経路を使用し2通目にパスワードを送るのは、ほぼ意味がありません。むしろZIPパスワード付きでウイルス対策ソフトから保護されるためEmotetには絶好の侵入方法です。

また、メール誤送信の場合は、2通目のパスワードを送らなければZIPファイルの中身は見られないと安心してはいけません。下記で紹介するZIPファイルのパスワードはLaplusなどフリーの圧縮・解凍ソフトを利用してもパスワードが解除できます。

zip暗号強度


zipの暗号化方式にはZipCryptoとAES-256という二つの方式がありますが、世の中の多くのOSではZipCryptoを使われることが多いです。
AES-256より強度の低いZipCryptoを使用し安易なパスワードを設定した場合、パスワードを知らせなくても解読専用ツールを使うことで短時間でパスワードを突破されてしまいます。

Laplus ZIPパスワード探索 手順

有名な圧縮・解凍ソフトのLaplusで不明なZIPパスワードを解除する方法はこちらです。ただパスワード解除専用のソフトではないためパスワードが複雑だと、パスワード解除するのに数時間~1日はかかるでしょう。

①Laplusを起動します。

②「ZIPパスワード探索」タブ > 探索するZIPファイルを選ぶ > 探索する範囲はすべてを選択 > 「開始」を選択

③あとは、ひたすら解除を待つのみです。

早ければ数分で終わりますが。複雑で長いパスワードだと1日以上かかるかもしれませんが、素人でもZIPファイルパスワードは簡単に解除が出来ます。

PPAPまとめ

PPAP まとめ
  1. PPAPはピコ太郎のことではない。
  2. PPAPは1通目のパスワード付きの添付ファイルを送り2通目にパスワードを送る日本の習慣化された文化
  3. ZIPファイルは素人でも簡単に複合化が可能
  4. 攻撃手段としてPPAPを利用したEmotetと呼ばれるスパムメールが世界的に大流行した
  5. 内閣や大手企業もPPAP禁止を実施していく

昨年11月に政府の会見で「パスワード付きZIPの廃止」が明言され、日立製作所も2021年度からPPAP禁止になります。大手のNTTも検討中とのことで今後、日本のパスワード付きZIPの習慣が変わっていくでしょう。

もし、PPAPをする場合は2通目のパスワードを相手に知らせる際はスマートフォンなどで送付するか、口頭で伝えるなどの方法が良いでしょう!

習慣化されたPPAPは、セキュリティ面でも高いわけではなく、利便性がないので私の職場でも早く廃止されないかなと思っています。

それではー!

ABOUT ME
なお
フルスタックエンジニアを目指すサラリーマン。インフラ、WEBを中心に色んなIT関連情報に手を出したいと思います。

にほんブログ村 IT技術ブログ IT技術メモへ

SEからの脱出日記 - にほんブログ村

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA