脱PPAP — 安全なファイル共有へ
パスワード付きZIPをメールで送り、パスワードを別メールで送る「PPAP」。日本では広く使われてきましたが、実はセキュリティ上のリスクが多く存在します。SecureMintなら、もっと安全に、もっとかんたんにファイルを届けられます。
PPAPとは?
- P — パスワード付きZIPファイルを送る
- P — パスワードを別のメールで送る
- A — 暗号化(Angou)する
- P — プロトコル
※ 日本のビジネス慣習として広く定着していましたが、2020年に内閣府がPPAPの廃止を宣言しました。
PPAPの問題点
同一経路でパスワードを送信
ZIPファイルとパスワードが同じメール経路で送られるため、メールを傍受できる攻撃者は両方を入手できます。セキュリティ上の意味がありません。
ZIP暗号化の脆弱性
一般的なZIP暗号化(ZipCrypto)は既知の攻撃手法で突破可能です。AES-256暗号化ZIPも、パスワードが短ければ総当たり攻撃で解読されるリスクがあります。
ウイルススキャンの回避
暗号化されたZIPファイルはメールゲートウェイのウイルスチェックを通過してしまいます。Emotetなどのマルウェアがこの経路を悪用して拡散しました。
監査証跡がない
ファイルが誰にダウンロードされたか、何回開かれたかを追跡する手段がありません。情報漏洩が発生しても検知できません。
SecureMintによる解決
エンドツーエンド暗号化
AES-256-GCM暗号化をブラウザ内で実行。復号鍵はリンクのURLフラグメント(#以降)に含まれ、サーバーには送信されません。
別経路での鍵共有
暗号化ファイルはサーバー経由、復号鍵はURLに埋め込み。メール本文とリンクで経路が分離されます。PPAPの根本的な問題を解決します。
自動有効期限 & ダウンロード制限
リンクに有効期限とダウンロード回数の上限を設定。期限切れのファイルは自動削除されます。
ダウンロードログ(Pro)
誰がいつダウンロードしたか記録。情報漏洩の早期発見に役立ちます。
比較表
| 項目 | PPAP | SecureMint |
|---|---|---|
| 暗号化方式 | ZipCrypto / AES-ZIP | AES-256-GCM |
| 鍵の共有経路 | 同一メール経路 | URLフラグメント(別経路) |
| ウイルススキャン | 回避される | 影響なし |
| 有効期限 | なし | 1時間〜30日 |
| ダウンロード制限 | なし | カスタム設定可 |
| 監査証跡 | なし | DLログ(Pro) |
| ソフトウェア | ZIP解凍ソフト | ブラウザのみ |
3ステップで脱PPAP
ファイルをドラッグ&ドロップ
セキュアファイル送信ページにファイルをドロップ。ブラウザ内でAES-256暗号化されます。
共有リンクをコピー
暗号化が完了すると共有リンクが生成されます。復号鍵はURLに埋め込まれ、サーバーには送信されません。
相手にリンクを送る
メールやチャットでリンクを送信。相手はクリックするだけでダウンロード。アプリのインストールは不要です。
登録不要・無料でお試しいただけます