また2つ目のパターンについては、パスワードを手動で、正しい宛先に送っていれば、確かに情報漏えいの危険性は下がります。しかし実際のところ、かなり多くの企業が添付ファイルのZIP暗号化とパスワードの発行・送信を自動化するシステムを取り入れています。これは送り手側の手間を楽にするためですが、このシステムを使っている限り、添付ファイルを送った先のアドレスが間違っていても、必ず同じアドレスへパスワードを送ってしまうことになります。これでは、もとの「ファイルの内容を漏えいさせない」という目的は決して果たすことができません。
PPAP方式の暗号強度は低く
むしろセキュリティ的には悪影響
そもそも、一般的に使われているパスワード付きZIPファイルの暗号強度は、それほど強くありません。現在普及しているパソコンのCPU、GPUの性能でも、パスワードの総当たり攻撃をかければ、英大文字・小文字と数字を組み合わせた8桁のパスワードが半日程度で解析できてしまうようなものなのです。
しかも、せっかくメールサーバー側で添付ファイルのウイルス検知が行えるシステムが導入されていたり、マルウェアフィルターが設置されていたりしても、添付ファイルにパスワードがかかっていると、これらをすり抜けてメールが届いてしまうため、逆効果になることさえあります。
普段からPPAP方式でファイルのやり取りをしている組織の場合、標的型攻撃にも弱くなります。標的型攻撃とは、機密情報を盗み取ることなどを目的に、特定の組織・個人を狙うもの。業務に関係のあるメールを装ってウイルスが含まれる暗号型ZIPファイルが攻撃者から送られてきても、常にPPAP方式でファイルのやり取りをしていれば、受け取る側は疑問を持たずに開いてしまうことでしょう。
ちなみに海外では、機密性の高いファイルのやり取りにPPAP方式は基本的に使われていません。日本の企業とファイルのやり取りをすることになって、暗号化ZIPファイルを受け取ったり、PPAP方式での送信を指定されたりした相手側は、戸惑うケースがほとんどです。
この何の意味もないPPAP方式に代えて、外部とのファイルのやり取りを比較的安全に行う方法がないわけではありません。グーグルドライブやマイクロソフトのOneDrive(ワンドライブ)をはじめとする、インターネット上のフォルダー(オンラインストレージ)を利用する方法です。このやり方なら、ファイルやフォルダーにアクセス制限をかけてダウンロードができるユーザーのみに権限を付けることで、安全にファイルのやり取りが可能です。万が一、間違ったユーザーに権限を与えてしまうようなことがあっても、ストレージから速やかにファイルを削除することで被害の広がりを防ぐことができます。
