ランサムウェアやマルウェアEmotetなどの被害が爆発的に増加した2020年の秋、政府は、暗号化添付ファイルの送信手順「PPAP」の廃止を決めた。この手順は、これまで日本の企業や官公庁で広く利用されてきたが、誤送信対策やセキュリティー施策としての効果はほぼなく、代替手段について多くの識者やベンダーから様々な提案がなされている。しかし、どの手法も抜本的な解決策とはなっていない。
SNSやチャットなどネットメッセージングサービスの利用も始まっているが、サービス側が全て管理するデータの所在、第三者の利用の実態が不明確で、現実に企業や官公庁の利用ケースにおいて、セキュリティーやプライバシー保護の問題が頻発している。
「ビジネスやパブリックサービスにおいて、メールシステムの特徴であるデータ管理の自由度や、セキュリティーやフォレンジックの観点から、安全なメール・添付ファイルの配送方法は以前に増して求められています。また、甚大な被害が出たマルウェアEmotet(エモテット)は、ビジネスメールを装ってPAPPによる暗号化添付ファイルから感染するケースも多く、その効果が広く知られました。Emotetが廃れても、この攻撃手法を流用したIcedIDなどほかのマルウェアによる被害が続いています。暗号化添付ファイルはマルウェアのチェックができず、PPAPがむしろ危険性を高めています」とアイマトリックス研究所 サイバーセキュリティーアナリスト 岡 響氏はPPAP運用脱却と安全なメール・添付ファイルの配送方法の必要性を語る。
政府はPPAPの代替手段としてオンラインストレージの利用を推奨する。しかしオンラインストレージにも解決すべき課題が山積みだ。安全なメール・添付ファイル配送の実現は可能なのか?