金融庁も警告「脱PPAP」、「一般企業と同じではダメ」金融機関がやるべき対策とは
- ありがとうございます!
- いいね!した記事一覧をみる
会員(無料)になると、いいね!でマイページに保存できます。
デジタル化が進む金融業界で、セキュリティ対策として長年使われてきた慣行が、逆にサイバー攻撃の温床となっている。パスワード付きZipファイルでの添付送信は、もはや「セキュリティホール」される手法だ。業界全体の安全性向上が急務となる中、従来の常識を見直すために、金融機関がとるべき対応とは何か。
(Photo/Shutterstock.com)
20年前の「対策」が現代の「脅威」に……
2025年5月、金融庁が全国の金融機関に向けて、パスワード付きZipファイルを電子メールで送付する慣行の廃止を強く要請した。この動きの背景には、2000年代初頭から続く「PPAP」と呼ばれるファイル送付方法が、現代のサイバー攻撃において深刻な脆弱性となっている実態がある。
PPAPとは、「パスワード付きZipファイルを送る」「パスワードを送る」「暗号化」「プロトコル」の頭文字を取った造語だ。1通目にパスワード付きZipファイルを送り、2通目で同じ経路でパスワードを送付する手法で、メール盗聴対策、誤送信対策、メールボックスの容量節約、セキュリティ姿勢のアピールを目的として広く普及した。
しかし、約20年が経過した現在、これらの目的はすべて意味を失っている。より深刻なのは、パスワード付きZipファイルがウイルススキャンの対象外となることだ。受信側のセキュリティソフトでマルウェアを検知できず、実際にEmotet(エモテット)などの標的型攻撃でPPAPが悪用された事例も確認されている。日常的にPPAPを利用することは、間接的にメール攻撃に加担していると言わざるを得ない。
では、適切に「脱PPAP」をするためには、具体的にどのような対応をすれば良いのだろうか。実は、金融機関と一般企業とでは、やるべき脱PPAP戦略のアプローチが異なる。
PPAPとは、「パスワード付きZipファイルを送る」「パスワードを送る」「暗号化」「プロトコル」の頭文字を取った造語だ。1通目にパスワード付きZipファイルを送り、2通目で同じ経路でパスワードを送付する手法で、メール盗聴対策、誤送信対策、メールボックスの容量節約、セキュリティ姿勢のアピールを目的として広く普及した。
しかし、約20年が経過した現在、これらの目的はすべて意味を失っている。より深刻なのは、パスワード付きZipファイルがウイルススキャンの対象外となることだ。受信側のセキュリティソフトでマルウェアを検知できず、実際にEmotet(エモテット)などの標的型攻撃でPPAPが悪用された事例も確認されている。日常的にPPAPを利用することは、間接的にメール攻撃に加担していると言わざるを得ない。
では、適切に「脱PPAP」をするためには、具体的にどのような対応をすれば良いのだろうか。実は、金融機関と一般企業とでは、やるべき脱PPAP戦略のアプローチが異なる。
この記事の続き >>
-
・【図解】金融機関がやるべき「脱PPAP」対応、一般企業との違いとは?
・金融庁が求める「通信経路の暗号化」とURL形式の根本的な違い
・TLS通信普及率「90%超」の現実、それでも残る「3つの課題」
・新世代セキュリティサービスの実力
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
