パスワードを忘れた? アカウント作成
15454191 story
セキュリティ

日立グループ、2021年12月13日以降すべての送受信メールでPPAP利用廃止 128

ストーリー by nagazou
最近でもたまにPPAPで資料が送られてくる 部門より
日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル(いわゆるPPAP)の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている(日立リリース)。
  • 秘文・・・ (スコア:4, 興味深い)

    by Anonymous Coward on 2021年10月18日 14時44分 (#4134591)

    日立と言えば秘文。
    君のことは忘れないよ。
    PPAP且つ暗号化ファイルが.exeという、今となっては(当時から?)害悪でしかないソリューション。

    ここに返信
    • Re:秘文・・・ (スコア:2, 参考になる)

      by Anonymous Coward on 2021年10月18日 14時54分 (#4134607)

      富士通にも独自の暗号化圧縮ソフトがあったなと思ってググってみたら、
      どうやらこれみたい。

      https://www.fujitsu.com/downloads/JP/archive/imgjp/group/fei/services/... [fujitsu.com]

      ひっそりと消えていった。(まだ消えていないのかどうか知らない)

      圧縮したまま保存していて、復元できなかったりして。
      自己解凍形式もあったような気がしますが、確信はありません。

      • by Anonymous Coward

        富士通が提供しているドライバとか、未だにこれで圧縮した自己解凍書庫だったと思います

    • by donadona (37711) on 2021年10月18日 19時58分 (#4134834)

      大丈夫!最近の秘文ちゃんは、オレオレ暗号化ファイルを送りつけた上で「暗号化解除のため以下のページより解除用ソフトをダウンロードしインストールしてください」というやり方に進化してるから!
      解除用ソフト:機密ファイルビューア [hitachi-solutions.co.jp]
      #独自ソフトをインストールさせるとか、邪悪度が増してる気がする

    • by Anonymous Coward

      えっ!? 日立もそうだったの?
      俺暗号化した自己解凍EXE送ってくるの三菱だけだと思ってた。
      流石に今はやってないと思うけど、当時ですらありえない。

  • by Anonymous Coward on 2021年10月18日 22時08分 (#4134913)

    この規格がデータを外部に送信する際は暗号化すること、という抽象的な規定を作ってしまったからこうなってしまった。
    おかげで知識&予算不足の中小どころか大手までがこぞってPPAPでISO27001を取得してしまった。
    2020年のPPAPは悪という風潮が広まってからもPPAPを導入してる所もあるし
    容易に(平文でパスワードを送る等)復号されうる暗号化方式は暗号化していないと同義なので要求事項を満たさないという規定を追加してくれ、そうしないといつまでも残るぞPPAP

    #弊社も未だに除去できていないので私はうんこです

    ここに返信
  • by jzkey (47353) on 2021年10月18日 15時24分 (#4134644)

    添付ファイルのzi_は保存してからzipにリネームして展開してください。
    みたいな対策が、そこかしこで、、、
    #まあex_をリネームさせるよりはマシかな

    ここに返信
    • by Ryo.F (3896) on 2021年10月18日 16時06分 (#4134682) 日記

      拡張子だけでなく、マジックナンバー [wikipedia.org]くらいチェックするだろ。

      • by Anonymous Coward

        それじゃ画像ファイルに偽装して…

        # いつの時代ぢゃ!

        • by Anonymous Coward

          ishでテキストに・・・げふんげふん

          • by Anonymous Coward on 2021年10月18日 17時58分 (#4134748)

            ロリコンバータでテキストに・・・
            リリリロロロリリリロロロロロロリリロロリロロリロリリリロロロリリリロロロロロロリ
            リロリリロリロリリリリロロロリリリロロロロロリロリロロリロロリリ
            リリリロロロリリリロロロロロロリリロロリロロリロリリリロロロリリ
            リロロロロロロリリロリリロリロリリリリロロロリリリロロロロロリロ
            リロロリロロリリ

  • by Anonymous Coward on 2021年10月18日 16時06分 (#4134681)

    じゃぁどうするの?

    というか、どの部分を問題視していてどの様に解決するかまで書いてほしいよなぁ。

    プレスリリース的にはウィルススキャンをすり抜けるのと、暗に送信元の確認がメールではできない(だからエモテットとかにひっかかる)って
    ことなんだろうけど、どうやって解決すんのかな。

    Zoomとかでカメラオン限定で暗号化せずに共有とか、コロナも収まりつつあるし手渡しとか?
    そのウィルススキャンどこですんの?(っていうかウィルススキャンは受け取ったら何であろうがするのでは。暗号化されてたら解凍後とか。)

    批判じゃなくて、単一経路でパスワードも別送のモヤッと感とか(盗聴前提ならアウトだし)、
    この慣習のために、わかってる人がみればあやしい添付zipも書いてあるパスワードで解凍してしまう人がいそうというのもわかるのだけど、
    やめましょうとかだせぇみたいなのはみかけても、
    だからこれで!みたいなのを見た記憶がない(宣伝はみたかもしれないけど)。

    ここに返信
    • by Anonymous Coward

      メール以外の方法で送れば何の問題もないと思う。
      ビジネスやると決めた相手とはメールよりも太い連絡経路用意するのが普通になればいい。

    • by Anonymous Coward

      大容量ファイルを送受信する手段はたくさんあるが、SMTPのように一般化されて普及してるのはない
      だから「これで!」ってオススメがあるわけじゃなくて、自分らの状況に合ったのを選ぶのが一番いいのが現状
      強いて言えばWebブラウザでアクセスできるやつなら、大体どこでも誰にでも使ってもらえると思うけど

      そりゃどの手段でも多かれ少なかれ管理運用の手間がかかったり、セキュリティー的に懸念することはあるけど
      電子メールだってコストもかかるしリスクもあるからね
      どっちがよりマシかっていうと、そろそろPPAPは分が悪くなってきたんじゃないの

  • by Anonymous Coward on 2021年10月18日 14時40分 (#4134587)

    パスワード付きrarファイル?それとも、パスワード無しzipファイルの中にパスワード付きzipファイル入れるとか?

    ここに返信
    • by Anonymous Coward on 2021年10月18日 14時45分 (#4134594)

      物理媒体を本人受取限定で(違

      # N系で証明書送られてくるときはこれ。

    • 送信したい相手にだけアクセス権限を付けたオンラインストレージにおいてメッセンジャー等で連絡して、ファイルのダウンロードが終わったという報告受けたらファイルを消す、が一番安全じゃね?

    • by Anonymous Coward

      ファイル転送管理システムで送信者・受信者の履歴が残るようにするでしょ
      機密性が本当に高いものなら、そもそも送信せずに社内システム上でしか閲覧できないようにするもんだし

      • by Anonymous Coward

        > ファイル転送管理システム
        そんなものはない
        SharePointでも使えとおふれが出ておるが、監査方法などはノータッチぞ

        # 「サイトの利用状況」から確認でもさせる気なのか?

        • by Anonymous Coward

          かつて無料版の宅ふぁいる便とかがやらかしたから勘違いしている人も多いが、
          HTTPS で監査対応・SLA のあるファイル転送サービスなんぞいくらでもあるぞ?

          アカウントを持ってない取引先からファイルを受け取れるサービスもある。
          サポートセンターでログ送ってくださいなんて時に重宝する。

    • by Anonymous Coward

      印刷して封緘した書類を桐箱に入れて、特使に持参させるんじゃないの?

    • by Anonymous Coward

      暗号化して光ディスクに保存して郵送。
      パスワードはメールで平文で送る。

    • by Anonymous Coward

      真面目にやるならS/MIMEとか。社内全体を対応させるのはそんなに難しくない。社外とのやりとりは証明書の準備とか相手に負担が掛かるけど。

      • by Anonymous Coward

        主要のメールアプリがPGPをサポートして
        鍵ついてないアドレスがあれば「暗号鍵を作りますか?」とかユーザーに聞いて
        誰でも簡単に作って管理できるようにしてくれれば普及するんだろうけどなぁ。
        Googleはメールの中身知りたい企業だから暗号化支援なんてしないだろうし鍵交換サーバー運営なんかもしてくれないだろうけど
        Microsoftあたりがやってくれるといいんだけどなぁ。

        • by Anonymous Coward

          MSは、ビジネス向けにMicrosoft 365 Message Encryptionを用意してるので、
          そんな面倒なことはやらんでしょ。

    • by Anonymous Coward

      パスワード付きExcelに全部貼り付け

    • by Anonymous Coward

      いまどきはWebサイト経由で送るんだよ。(Boxとか)
      メールに重要な情報は添付しないよ。

  • by Anonymous Coward on 2021年10月18日 14時45分 (#4134592)

    送信だけじゃなくて、受信もしないのか。さすが日本を代表する企業。PPAP続けている企業を顧客に持つ営業は阿鼻叫喚だろうなあ。

    ここに返信
    • by Anonymous Coward

      当初の予定は10/10からだったと聞いた。
      恐らく、取引先の対応が間に合わないから延期されたんじゃないかと。

    • by Anonymous Coward

      受信の方は、ウイルスチェックができないとかが理由じゃないかな
      見られて困るような資料はちゃんと別ルートが確保されていて(と信じているが)、そうでなくて盲目的にPPAPしているようなところは改善しろと

  • by Anonymous Coward on 2021年10月18日 14時48分 (#4134599)

    一時期流行ったやつだっけ?

    ここに返信
    • by Anonymous Coward

      過去形……なのかな
      この記事 [yahoo.co.jp]によるとごく最近新バージョンもできたし
      ザンビアの子供に手洗いを習慣づけた「PPAP-2020-」ってのもあるらしい
      あと今年公開されたキラメイジャーの映画 [wikipedia.org]でも

  • 定義と違うね。拡大しちゃってる。

    ここに返信
    • by Anonymous Coward
      言葉は世につれ、世は言葉につれ。
      さあ、歌ってきただきましょう!  Pぃ Pぃ Aぇぇ Tぃぃぃいいい
  • by Anonymous Coward on 2021年10月18日 15時01分 (#4134616)

    パスワード付きZIPファイルが添付メール:送信拒否
    パスワード記載済みメール:送信可能

    担当「パスワード付きZIPファイルの公開保存先URLをメールで送ろう」

    # 阿呆な制度を阿呆な規制で止めようとする良い見本

    ここに返信
    • by nim (10479) on 2021年10月18日 17時55分 (#4134746)

      PPAP で主に言われるのは、パスワード暗号化しても同じ経路でパスワードを
      送ったら手間が増えてるだけで全然安全になってないじゃん。そんなやり方で
      セキュアにしているつもりになるのは害悪だ、ということだと思いますが、
      それとは別に、暗号化ZIPファイルの添付メールは、メールゲートウェイでの
      マルウェアスキャンが効かないので困るのです。

      なので、ファイルの安全な送付方法があるのであれば、一律に
      暗号化ZIPファイルのメール添付を禁止するのには歴とした意味があります。

      もちろん、ウェブアクセスも制限し、野良サイトで

      > 担当「パスワード付きZIPファイルの公開保存先URLをメールで送ろう」

      みたいなことができないようにするのも当然セットになります。

  • by Anonymous Coward on 2021年10月18日 15時03分 (#4134620)

    会社から使うなと言われたものを使う馬鹿発見器としても機能しそう

    ここに返信
  • by Anonymous Coward on 2021年10月18日 15時13分 (#4134631)

    だな

    ここに返信
  • by Anonymous Coward on 2021年10月18日 16時00分 (#4134676)

    先日契約したら、契約書面が暗号化ZIPで届いた(パスワードは生年月日)ので日立的にはPPAPなんだろう

    ここに返信
  • by Anonymous Coward on 2021年10月18日 16時56分 (#4134712)

    パスワード付きzipを全面禁止って何か違う気がするんだが。
    暗号データと復号キーを同じ伝送経路で送るのが問題なんじゃないのか?

    パスワードを口頭で通知してりゃ、暗号化zipでも意味あるだろ

    ここに返信
    • Re:なんか違う? (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2021年10月18日 17時05分 (#4134716)

      暗号化zipのやり取りを続けるのは、スピア型攻撃に脆弱なままになってしまう。
      マルウェアが暗号化されて送られ、それをゲートウェイで検出できないから辞めようという話になっている。
      社会の為ではなく、自社を守るための施策だとご理解いただきたく。

    • by nekopon (1483) on 2021年10月18日 17時22分 (#4134723) 日記
      https://security.srad.jp/story/21/06/23/1645238/ [security.srad.jp] パスワードを送る必要すら無い、とかなんとか言う話でもありまして
      • by Anonymous Coward

        そのストーリは中で議論されているとおり、パスワードの文字種がわかっている前提であったりかなり恣意的(宣伝目的)な内容なので、あまり筋がよくないような
        どちらかというと、こちらの既知平文攻撃の方が現実的な攻撃方法かな
        https://apple.srad.jp/story/21/10/10/179209/ [apple.srad.jp]

    • by Anonymous Coward

      まぁそうなんですけど。

      世の中にはメールの添付ファイルを自動的にPPAP化してくれる
      アプリとかサービスがあって、自動的にやってくれるから、
      パスワードメールが間髪いれずに同じ送信メールアドレス宛に
      送られてきます。

      そういうアプリやサービスは捨てたり解約しましょう、という
      ことでしょう。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...