パスワード付きzipファイルが添付されたメールおよび別送のパスワード記載メール（PPAP）に対する当社運用の変更について

メールにファイルを添付して送信する際、「パスワード付きのzipファイルと、そのパスワードを別送する」という手順で行われている情報セキュリティ対策手法、いわゆる「PPAP」につきまして、当社は2022年1月26日より、社外の方からのIIJアドレスへのメール送信における対応を、原則として以下のように変更いたします。

2022年1月25日以前	従来通り、パスワード付きzipファイルが添付されたメールを受信する
2022年1月26日以降	パスワード付きzipファイルをフィルタにより削除し、メール本文のみ受信する

また、IIJより社外の方へパスワード付きファイルを添付し送信する場合においても、今後順次別の手段へ変更いたします。

上記の変更にともない、ファイルを共有するための別の手段を用意し、移行いたします。その利用につきましては、お客様、お取引先様に、個別にご連絡を差し上げます。

変更に至った背景

メールにパスワード付きのzipファイルを添付して送信し、そのパスワードを後送する「PPAP」は、日本において多く見られる情報セキュリティ対策の一つですが、効果が薄いだけでなく、ウィルススキャンをすり抜けてしまうことから、米国のサイバーセキュリティ・インフラセキュリティ庁においてもブロックすることが推奨されています。
この仕組みを悪用したマルウェアは今後も発生することが予想されることから、当社だけでなく、お客様、お取引先様よりお預かりする情報を守るためにも、対応が必要との考えに至りました。

当社のお客様、お取引先様におかれましては、何卒、ご理解・ご協力のほど、よろしくお願い申し上げます。

ご参考

• 技術レポート「Internet Infrastructure Review （IIR）」 ：定期観測レポート 今、求められるメールセキュリティ～パスワード付きZIPと送信ドメイン認証「DMARC」
• IIJエンジニアによる、PPAPの危険性と対策についての解説 ：パスワード付き (暗号化) ZIP廃止の考え方と対策
• エンタープライズIT [COLUMNS] ：PPAPとは – パスワード付きZIPファイルの概要と課題