日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル(いわゆるPPAP)の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている(日立リリース)。
秘文・・・ (スコア:4, 興味深い)
日立と言えば秘文。
君のことは忘れないよ。
PPAP且つ暗号化ファイルが.exeという、今となっては(当時から?)害悪でしかないソリューション。
Re:秘文・・・ (スコア:2, 参考になる)
富士通にも独自の暗号化圧縮ソフトがあったなと思ってググってみたら、
どうやらこれみたい。
https://www.fujitsu.com/downloads/JP/archive/imgjp/group/fei/services/... [fujitsu.com]
ひっそりと消えていった。(まだ消えていないのかどうか知らない)
圧縮したまま保存していて、復元できなかったりして。
自己解凍形式もあったような気がしますが、確信はありません。
Re: (スコア:0)
富士通が提供しているドライバとか、未だにこれで圧縮した自己解凍書庫だったと思います
Re:秘文・・・ (スコア:2)
大丈夫!最近の秘文ちゃんは、オレオレ暗号化ファイルを送りつけた上で「暗号化解除のため以下のページより解除用ソフトをダウンロードしインストールしてください」というやり方に進化してるから!
解除用ソフト:機密ファイルビューア [hitachi-solutions.co.jp]
#独自ソフトをインストールさせるとか、邪悪度が増してる気がする
Re: (スコア:0)
えっ!? 日立もそうだったの?
俺暗号化した自己解凍EXE送ってくるの三菱だけだと思ってた。
流石に今はやってないと思うけど、当時ですらありえない。
Re:秘文・・・ (スコア:1)
日立ソフト→日立ソリューションズが提供する秘文 [hitachi-solutions.co.jp]という製品に、PPAPを自動化する機能がある(あった)。
これを導入した企業もあっただろうから、日立だけではないのはその通り。
ISO27001(ISMS)が悪い (スコア:3, 興味深い)
この規格がデータを外部に送信する際は暗号化すること、という抽象的な規定を作ってしまったからこうなってしまった。
おかげで知識&予算不足の中小どころか大手までがこぞってPPAPでISO27001を取得してしまった。
2020年のPPAPは悪という風潮が広まってからもPPAPを導入してる所もあるし
容易に(平文でパスワードを送る等)復号されうる暗号化方式は暗号化していないと同義なので要求事項を満たさないという規定を追加してくれ、そうしないといつまでも残るぞPPAP
#弊社も未だに除去できていないので私はうんこです
拡張子偽装 (スコア:1)
添付ファイルのzi_は保存してからzipにリネームして展開してください。
みたいな対策が、そこかしこで、、、
#まあex_をリネームさせるよりはマシかな
Re:拡張子偽装 (スコア:1)
拡張子だけでなく、マジックナンバー [wikipedia.org]くらいチェックするだろ。
Re: (スコア:0)
それじゃ画像ファイルに偽装して…
# いつの時代ぢゃ!
Re: (スコア:0)
ishでテキストに・・・げふんげふん
Re:拡張子偽装 (スコア:1)
ロリコンバータでテキストに・・・
リリリロロロリリリロロロロロロリリロロリロロリロリリリロロロリリリロロロロロロリ
リロリリロリロリリリリロロロリリリロロロロロリロリロロリロロリリ
リリリロロロリリリロロロロロロリリロロリロロリロリリリロロロリリ
リロロロロロロリリロリリロリロリリリリロロロリリリロロロロロリロ
リロロリロロリリ
Re:拡張子偽装 (スコア:1)
マイムタイプのチェックはしないと思うよ
MIMEとは関係無いよ。
Re:拡張子偽装 (スコア:1)
マジックナンバーが無い場合もあるのか。知らんかった。
しかし、今どきの企業システムなら、添付ファイルのセキュリティ検査くらいするんじゃないかな。
暗号化ZIPはその邪魔にもなるので、前から禁止してた会社も知ってる。
Re:拡張子偽装 (スコア:1)
いや、ファイルの終端を見ても本当は特定できない。end of central directory headerはファイル全体をスキャンして探さなければんらない。かつてはXMODEMのゴミなんかが末尾につくのが常識だったからちゃんとスキャンしてたと思うんだが、最近は(Windows標準の圧縮フォルダーも含め)手抜き実装が増えてるな。
やめるのは構わんが (スコア:1)
じゃぁどうするの?
というか、どの部分を問題視していてどの様に解決するかまで書いてほしいよなぁ。
プレスリリース的にはウィルススキャンをすり抜けるのと、暗に送信元の確認がメールではできない(だからエモテットとかにひっかかる)って
ことなんだろうけど、どうやって解決すんのかな。
Zoomとかでカメラオン限定で暗号化せずに共有とか、コロナも収まりつつあるし手渡しとか?
そのウィルススキャンどこですんの?(っていうかウィルススキャンは受け取ったら何であろうがするのでは。暗号化されてたら解凍後とか。)
批判じゃなくて、単一経路でパスワードも別送のモヤッと感とか(盗聴前提ならアウトだし)、
この慣習のために、わかってる人がみればあやしい添付zipも書いてあるパスワードで解凍してしまう人がいそうというのもわかるのだけど、
やめましょうとかだせぇみたいなのはみかけても、
だからこれで!みたいなのを見た記憶がない(宣伝はみたかもしれないけど)。
Re: (スコア:0)
メール以外の方法で送れば何の問題もないと思う。
ビジネスやると決めた相手とはメールよりも太い連絡経路用意するのが普通になればいい。
Re: (スコア:0)
大容量ファイルを送受信する手段はたくさんあるが、SMTPのように一般化されて普及してるのはない
だから「これで!」ってオススメがあるわけじゃなくて、自分らの状況に合ったのを選ぶのが一番いいのが現状
強いて言えばWebブラウザでアクセスできるやつなら、大体どこでも誰にでも使ってもらえると思うけど
そりゃどの手段でも多かれ少なかれ管理運用の手間がかかったり、セキュリティー的に懸念することはあるけど
電子メールだってコストもかかるしリスクもあるからね
どっちがよりマシかっていうと、そろそろPPAPは分が悪くなってきたんじゃないの
機密性の高い情報はどうやって送るの? (スコア:0)
パスワード付きrarファイル?それとも、パスワード無しzipファイルの中にパスワード付きzipファイル入れるとか?
Re:機密性の高い情報はどうやって送るの? (スコア:1)
物理媒体を本人受取限定で(違
# N系で証明書送られてくるときはこれ。
Re:機密性の高い情報はどうやって送るの? (スコア:1)
送信したい相手にだけアクセス権限を付けたオンラインストレージにおいてメッセンジャー等で連絡して、ファイルのダウンロードが終わったという報告受けたらファイルを消す、が一番安全じゃね?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
ファイル転送管理システムで送信者・受信者の履歴が残るようにするでしょ
機密性が本当に高いものなら、そもそも送信せずに社内システム上でしか閲覧できないようにするもんだし
Re: (スコア:0)
> ファイル転送管理システム
そんなものはない
SharePointでも使えとおふれが出ておるが、監査方法などはノータッチぞ
# 「サイトの利用状況」から確認でもさせる気なのか?
Re: (スコア:0)
かつて無料版の宅ふぁいる便とかがやらかしたから勘違いしている人も多いが、
HTTPS で監査対応・SLA のあるファイル転送サービスなんぞいくらでもあるぞ?
アカウントを持ってない取引先からファイルを受け取れるサービスもある。
サポートセンターでログ送ってくださいなんて時に重宝する。
Re: (スコア:0)
印刷して封緘した書類を桐箱に入れて、特使に持参させるんじゃないの?
Re: (スコア:0)
暗号化して光ディスクに保存して郵送。
パスワードはメールで平文で送る。
Re: (スコア:0)
真面目にやるならS/MIMEとか。社内全体を対応させるのはそんなに難しくない。社外とのやりとりは証明書の準備とか相手に負担が掛かるけど。
Re: (スコア:0)
主要のメールアプリがPGPをサポートして
鍵ついてないアドレスがあれば「暗号鍵を作りますか?」とかユーザーに聞いて
誰でも簡単に作って管理できるようにしてくれれば普及するんだろうけどなぁ。
Googleはメールの中身知りたい企業だから暗号化支援なんてしないだろうし鍵交換サーバー運営なんかもしてくれないだろうけど
Microsoftあたりがやってくれるといいんだけどなぁ。
Re: (スコア:0)
MSは、ビジネス向けにMicrosoft 365 Message Encryptionを用意してるので、
そんな面倒なことはやらんでしょ。
Re: (スコア:0)
パスワード付きExcelに全部貼り付け
Re: (スコア:0)
いまどきはWebサイト経由で送るんだよ。(Boxとか)
メールに重要な情報は添付しないよ。
受信もしないのか (スコア:0)
送信だけじゃなくて、受信もしないのか。さすが日本を代表する企業。PPAP続けている企業を顧客に持つ営業は阿鼻叫喚だろうなあ。
Re: (スコア:0)
当初の予定は10/10からだったと聞いた。
恐らく、取引先の対応が間に合わないから延期されたんじゃないかと。
Re: (スコア:0)
受信の方は、ウイルスチェックができないとかが理由じゃないかな
見られて困るような資料はちゃんと別ルートが確保されていて(と信じているが)、そうでなくて盲目的にPPAPしているようなところは改善しろと
Pen-Pineapple-Apple-Pen (スコア:0)
一時期流行ったやつだっけ?
Re: (スコア:0)
過去形……なのかな
この記事 [yahoo.co.jp]によるとごく最近新バージョンもできたし
ザンビアの子供に手洗いを習慣づけた「PPAP-2020-」ってのもあるらしい
あと今年公開されたキラメイジャーの映画 [wikipedia.org]でも
日立曰く「パスワード付きZIPファイル添付メール(通称PPAP)」 (スコア:0)
定義と違うね。拡大しちゃってる。
Re: (スコア:0)
さあ、歌ってきただきましょう! Pぃ Pぃ Aぇぇ Tぃぃぃいいい
こうですね (スコア:0)
パスワード付きZIPファイルが添付メール:送信拒否
パスワード記載済みメール:送信可能
担当「パスワード付きZIPファイルの公開保存先URLをメールで送ろう」
# 阿呆な制度を阿呆な規制で止めようとする良い見本
Re:こうですね (スコア:1)
PPAP で主に言われるのは、パスワード暗号化しても同じ経路でパスワードを
送ったら手間が増えてるだけで全然安全になってないじゃん。そんなやり方で
セキュアにしているつもりになるのは害悪だ、ということだと思いますが、
それとは別に、暗号化ZIPファイルの添付メールは、メールゲートウェイでの
マルウェアスキャンが効かないので困るのです。
なので、ファイルの安全な送付方法があるのであれば、一律に
暗号化ZIPファイルのメール添付を禁止するのには歴とした意味があります。
もちろん、ウェブアクセスも制限し、野良サイトで
> 担当「パスワード付きZIPファイルの公開保存先URLをメールで送ろう」
みたいなことができないようにするのも当然セットになります。
Re:こうですね (スコア:1)
公開しても良いファイル(ブローシャとか):暗号化せずに添付
秘密にしないとまずいファイル:Boxとかで共有
でしょう。
日立にも「活文」とうサ-ビスがあるらしいので、それかもしれんけど。
馬鹿発見器 (スコア:0)
会社から使うなと言われたものを使う馬鹿発見器としても機能しそう
よし、lha (スコア:0)
だな
povo 2.0契約書類は日立的にPPAP (スコア:0)
先日契約したら、契約書面が暗号化ZIPで届いた(パスワードは生年月日)ので日立的にはPPAPなんだろう
なんか違う? (スコア:0)
パスワード付きzipを全面禁止って何か違う気がするんだが。
暗号データと復号キーを同じ伝送経路で送るのが問題なんじゃないのか?
パスワードを口頭で通知してりゃ、暗号化zipでも意味あるだろ
Re:なんか違う? (スコア:3, すばらしい洞察)
暗号化zipのやり取りを続けるのは、スピア型攻撃に脆弱なままになってしまう。
マルウェアが暗号化されて送られ、それをゲートウェイで検出できないから辞めようという話になっている。
社会の為ではなく、自社を守るための施策だとご理解いただきたく。
Re:なんか違う? (スコア:3, おもしろおかしい)
拝承
Re:なんか違う? (スコア:1)
Re: (スコア:0)
そのストーリは中で議論されているとおり、パスワードの文字種がわかっている前提であったりかなり恣意的(宣伝目的)な内容なので、あまり筋がよくないような
どちらかというと、こちらの既知平文攻撃の方が現実的な攻撃方法かな
https://apple.srad.jp/story/21/10/10/179209/ [apple.srad.jp]
Re: (スコア:0)
まぁそうなんですけど。
世の中にはメールの添付ファイルを自動的にPPAP化してくれる
アプリとかサービスがあって、自動的にやってくれるから、
パスワードメールが間髪いれずに同じ送信メールアドレス宛に
送られてきます。
そういうアプリやサービスは捨てたり解約しましょう、という
ことでしょう。