ニッキンの5月22日報道によると、金融庁が、金融機関に対してパスワード付きZIPファイルを電子メールで送る慣行(いわゆるPPAP)を見直すよう求めたようです。これは、受信者側のセキュリティソフトがマルウエア(悪意あるプログラム)を検知できず、情報漏洩などのリスクがあるためです。今後の検査やモニタリングを通じて、改善が進んでいるかを確認する方針(!!)だそうです。
5月に地域銀行と意見交換を行った際、金融庁幹部は「パスワード付きファイルの送付は基本的に行うべきではない」と明言したとのことです。メールの通信経路を暗号化することを基本とし、難しい場合はオンラインストレージなどの代替手段を使うよう求めています。すでに静岡銀行や京都銀行では、ファイルはメールに添付せず、専用のURLを送る方式に切り替えるなど、PPAP廃止の動きが進んでいます。しかし、今もなおPPAPを続けている金融機関も少なくありません。
これまで多くの機関で、パスワード付きファイルをメールで送り、後からパスワードを別送する「PPAP」(命名はPPAP総研の大泰司さん)という方法が使われてきましたが、盗聴やマルウエア感染のリスクが指摘されています。たとえば、情報処理学会誌である「情報処理」の2020年7月号では、情報処理学会誌小特集「さようなら,意味のない暗号化ZIP添付メール」を組んで指摘してきました。
特集の内容は、産総研(当時)の江渡浩一郎さんと相談した結果以下のようになっています。(記事はすべて無料で参照可能です)
- 0.編集にあたって -儀式セキュリティPPAP:日本のセキュリティ・ルネサンスに向けて
- 1.PPAPとはなにか -その発展の黒歴史
- 2.PPAPのセキュリティ意義
- 3.我々はなぜPPAPするようになってしまったのか
- 4.座談会「社会からPPAPをなくすには」
- 崎村夏彦・大泰司章・楠正憲・上原哲太郎
この特集は後に、第37回テレコム学際研究賞を受賞しました。
この特集を作っている間、おりしも新型コロナ禍にあたってしまいまして、座談会もオンラインで行うなど、著者が一同に揃うことはありませんでした。なので、座談会も一人がバ美肉で登場するという形でした。それが、このニュースが流れたとき、折しも「第29回 サイバー犯罪に関する白浜シンポジウム」が行われている中、奇跡的に著者4人が一同に介していましたので記念写真をとりました。ひょっとすると4人が物理的に一緒に揃ったのは、特集後初めてだったかもしれません。
