ソフトバンクグループ(SBG)は、4月6日からパスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)を廃止する。セキュリティ強化が目的で、同日午後3時以降は、メール本文のみ受信し、添付ファイルはフィルタリングの時点で自動削除。受信できないようにする。PPAPはセキュリティ上の課題が多いとされ、内閣府や一部の民間企業で廃止する動きが出ている。
ソフトバンク本社(出典:ソフトバンクのオウンドメディアの記事)対象は正社員約240人と契約社員、アルバイト。今後は各部署や取引先企業と協議しながら、共有ストレージサービスなどへの移行を順次進める方針で、同社は「当社従業員のメールアカウントが、パスワード付き圧縮ファイルを添付したメールを受信した場合、全ての添付ファイルが削除され、メール本文のみが受信者に届くようになる。送信者には削除通知が送信されないため、当社担当者(受信者)とファイル授受の方法を確認してほしい」と呼び掛けている。2月には傘下のソフトバンクが、一足早くPPAPを廃止していた。
PPAPとは?
PPAPは「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」の頭文字からなる造語。ピコ太郎が2016年に発表したPPAP(ペン・パイナップル・アップル・ペン)にヒントを得て、ITコンサルタントで、現在はPPAP総研代表の大泰司章(おおたいし あきら)さんが命名したのが由来とされる。
PPAPは「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」の頭文字から(出典:くたばれPPAPのスライドから)PPAPは誤送信防止対策として、日本企業の多くが採用するセキュリティ対策の一つだったものの、セキュリティソフトのウイルススキャンもすり抜けてしまうことから効果が薄いとされている。パスワードを同じ経路で送信することで、情報漏えいのリスクがかえって高まるとして、セキュリティの専門家からは効果がないとする意見も出ていた。
添付ファイルの送信手段に未だにPPAPを使用している組織も(記者に実際に届いたメール)関連記事
関連リンク
背景にマルウェア「Emotet」増加
同社はなぜ、このタイミングでPPAP廃止を決断したのだろうか。背景には、マルウェア「Emotet」(エモテット)の増加がある。
Emotetとは、メールの添付ファイルを通じて感染するマルウェアのこと。2014年ごろから20年にかけて、世界中で猛威を振るい、日本でも19年から20年に関西電力や京セラ、NTT西日本など多くの企業がEmotetの標的となり、個人情報流出の被害を受けた。
そうした中、ユーロポール(欧州刑事警察機構)は21年1月、Emotetを拡散するサーバを突き止め、米、英、独、仏、蘭、加、リトアニア、ウクライナの8カ国の治安当局との合同作戦「Operation LadyBird」(テントウムシ作戦)でEmotet拡散の実行犯を逮捕するとともに、ネットワークの情報基盤に侵入して制圧。内部からEmotetの拡散を停止させた。その後、ワクチンソフトをEmotetサーバから拡散する浄化作戦を実行し、Emotetの脅威はなくなったかにみられた。
だが、21年11月、セキュリティ企業のLACがEmotetの活動再開を確認したと発表。JPCERT/CCや情報処理推進機構(IPA)も相談件数が増えているとして、注意を呼び掛けていた。
Emotetの感染までの流れ(出典:LAC公式Webサイト)実際、2月以降、クラシエ、ライオン、積水ハウスなどは従業員のPCがEmotetに感染したと発表。NTT西日本に関しては、Emotet感染で従業員や取引先のメールアドレスが流出したと明らかにしている。
内閣府やfreee、日立も廃止済み
PPAPを巡っては20年11月、平井卓也デジタル改革担当相(当時)が中央省庁でPPAPを廃止する方針を打ち出し、内閣府・内閣官房が共有ストレージサービスへの移行を発表。これに合わせて、民間企業では同年11月、クラウド会計ソフトを手掛けるfreee(東京都品川区)がPPAP廃止を発表した他、10月には日立製作所がグループ全企業でPPAPを廃止する方針を打ち出していた。
中央省庁で一足早くPPAPを廃止した内閣府関連記事
関連リンク
からの記事と詳細 ( ソフトバンクG、パスワード付きZIP廃止 本文のみ受信、添付ファイルは自動削除 - ITmedia ビジネスオンライン )
https://ift.tt/saiAMxW
No comments:
Post a Comment