はじめに
「ZIPにパスワードをかけてメールで送信、別便でパスワードを送る」。かつて主流だった PPAP方式 は、今ではセキュリティ上の穴として多くの企業が廃止を進めています。理由は明快で、暗号化ZIPを添付する時点でマルウェア検査が効かず、パスワードを別メールで送る慣習も攻撃者に読まれてしまえば意味がないからです。では、ファイルのやり取りをどう安全に行えばよいのでしょうか。
実態
PPAPのままでは、
- マルウェアが検知されないまま受信者に届く
- 攻撃者がメールを傍受すれば、パスワードとセットで解読可能
- 「ZIP開けません」「パスワード来ません」といった業務トラブルも頻発
セキュリティと利便性の両面で限界が明らかになっています。
事例からの共通点
実際に被害が起きたケースをみると、「送信者の都合」で運用が決められていたことが多いのです。受け取る側は検査できず、確認も遅れ、結局は感染や情報漏洩につながる。つまり「受信者にとって安全かどうか」が欠けていました。
防ぎ方(すぐできる対策)
1. ワンタイムリンク配布
クラウドストレージやセキュアファイル転送サービスを利用し、ダウンロード用のワンタイムリンクを発行。閲覧期限や回数制限をつければ、不正利用のリスクを大きく下げられます。
2. ダウンロード通知
相手がリンクを開いた時に通知が届く仕組みを使えば、送信後の確認や不審なアクセス検出に役立ちます。小規模でも導入しやすいクラウド型サービスが増えています。
3. サンドボックス検査
どうしても添付が必要な場合は、受信側で自動的にサンドボックス検査をかける体制を整える。たとえZIPでも、到達前に「実行させて確認」できれば被害を減らせます。
まとめ
添付ファイルをどう扱うかは、取引先や顧客との信頼関係にも直結します。「便利だから」ではなく「受け取る相手にとって安全か」を基準に運用を決めることが大切です。
