IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信 98
ストーリー by nagazou
廃止 部門より
廃止 部門より
IIJは15日、「PPAPに対する当社運用の変更について」とするリリースを出し、自社や自社向けの取引先で利用されているいわゆる「PPAP」を廃止すると発表した。制限がかかるのは2022年1月26日以降のメール。PPAPメールが送信されると、添付されたパスワード付きZIPファイルがフィルターにより削除され、メール本文のみを受信するとしている(IIJリリース、ITmedia)。
リリースタイトルにあるように自社のビジネス取引関係向けのもので、先日発表された日立のPPAP対応と類似したものとなっている。IIJが提供しているIIJmioのサービス契約者のPPAPメールが弾かれるといった性質のものではない。なお、グループ企業への方針拡大は未定だとしている。今後は顧客や取引先企業と協議しながら、共有ストレージサービスへの移行する方針だとしている。
リリースタイトルにあるように自社のビジネス取引関係向けのもので、先日発表された日立のPPAP対応と類似したものとなっている。IIJが提供しているIIJmioのサービス契約者のPPAPメールが弾かれるといった性質のものではない。なお、グループ企業への方針拡大は未定だとしている。今後は顧客や取引先企業と協議しながら、共有ストレージサービスへの移行する方針だとしている。
ZIPだとハネられるから、 (スコア:1)
パス付きzipだとシステムでハネられるから
7zでパスワード付けてくれって
客からメールが来たときには
大爆笑を堪え切れなかった
Re: (スコア:0)
頭に偽のJPEGヘッダーを付けるのはどうでしょう。
あと、ファイルリストが見えては困るので二重にzip圧縮しましょう。
Re: (スコア:0)
それ以外にもパスワード付きPDFとかパスワード付きEXCELもあるぞ!
#嘘みたいなホントの話
Re:ZIPだとハネられるから、 (スコア:2)
ふつーに常用してます。まあパスワードの伝送経路がセキュアなら良いんじゃないかと。
#セキュアだとは言ってない
Re: (スコア:0)
それ以前にPPAPはマルウェアが悪用する問題もあるので。
ウイルススキャンが解読出来ないのを利用されてるのでパスワードの安全性とかどーでもいい使い方。
Re: (スコア:0)
パスワードをパスと略すのはやめろマン参上!
パスワードをパスと略すのはやめろ!
Re: (スコア:0)
パワード
Re: (スコア:0)
スワ〜
Re:ZIPだとハネられるから、 (スコア:1)
パスワード付きZIPファイル (スコア:1)
パスワード付きZIPファイルを添付したメールが悪いんじゃなくて、そのメールを送った後にパスワードを書いて送るのがダメな話なんですよねぇ。
私がパスワード付きZIPファイルを送る場合は、事前に電話をしてそこでパスワードを決めてから送る、というようにしてます。
Re:パスワード付きZIPファイル (スコア:3, 参考になる)
パスワード付きZIPファイルを添付したメール「も」悪いんですよ。
近年急激にPPAP廃止の流れに傾いた背景として、Emotetというマルウェアの流行があります。
パスワード付きZIPファイルだとメールスキャンでマルウェアを検出できず素通ししてしまうんです。
企業としてはパスワード付きZIPファイルを添付したメールを排除したくて仕方ないので、こういうステートメントを出すわけです。
Re: (スコア:0)
パスワード付きZIPファイルなマルウェアがあるんでしょうか?
受信して暗号買得展開してやるまで組み込まれたやつ?
Re:パスワード付きZIPファイル (スコア:1)
だからEmotetって書いてあるじゃん
一から十まで説明しないといけないのか?
Re: (スコア:0)
セキュリティソフトがパスワード解除してスキャンすればいいんでないかい?
Re: (スコア:0)
暗号化ZIPが来る度に総当たりでクラックさせるの?
それともPPAPとあたりを付けてパスワードを記載したメールを待ち受けしろと?
PPAPで問題にされる「セキュリティソフト」はMTAと連携してサーバー上で動作するタイプのものだから、
どっちにしてもMTA側で大量に遅延が発生するし、下手するとサーバーがぶっ壊れるレベルで負荷が増大しますぜ。
#そしてその挙動を悪用したメール爆弾攻撃は容易に作成出来そう。
Re: (スコア:0)
それが実用的なレベルで可能なら、人間が操作しなくても受信した時点で自動的にパスワード解除するメールクライアントが出ているはず。
Re:パスワード付きZIPファイル (スコア:1)
Re:パスワード付きZIPファイル (スコア:1)
Re: (スコア:0)
安全な経路で別途パスワード送っておくのが良いですねぇ。
…FAXとかw
SSLの証明書とまぁ同じような理屈だね。
ハンドキャリーでパスワードリスト渡して、何番目使ったよーとか伝えるのが一番原始的だけど確実かな。
事前共有キーワードと日付をハッシュしたのをパスワードにする、ってぐらいでも良い気もするんだけどね。
毎日違うパスワードになるので、パス使い回しだけど使い回しじゃない感じになる。
Re: (スコア:0)
協力会社さん含めこれでやってた
ランダムに変えると後でメールあさった時に開けられないってこともあってなぁ
Re: (スコア:0)
パスワード付きZIPは安全じゃないので止めようってのが最近の流れね
事前共有キーとかは本質ではない
Re: (スコア:0)
パスワード付きZIPはセキュリティスキャンできないっていう問題があるよ
だから端的に言えばメールに添付されたパスワード付きZIPそのものが悪、という話になる
# なのでそんな怪しいファイルは消してしまえってことなんでしょう
Re: (スコア:0)
GMailはパスワードついてると問答無用で削除してくれてた気がする…。
でもまぁ、そういうスキャンはクライアント側でやればいいんじゃないの、とも思うのだが。
駄目なの?
Re: (スコア:0)
その手のマルウェアは犯人が事前に主要なアンチウイルスソフトで検知されないことを入念に確認してから
送りつけるので、
それでは対策にならんのでしょう。
Re: (スコア:0)
その場合、暗号化してないzipでも結局メールサーバ上でのスキャンにもかからないんじゃないだろうか。
結局、添付ファイルは禁止!
ってことだよね。暗号化zipに限らず。
※まぁjpegとかなら良いんだろうけど。偽装埋め込みとかマルウエアがしてくるわけもないしw
本文だけ残してくれるだけまし (スコア:1)
その昔、zipファイルが添付されているメールは問答無用に落とすという会社がありました。某大手IT企業です。
(おそらく特許がらみの問題でzipプログラムを使わなかったのだと思う。十数年前のことなので詳細不明。)
そこの人にはメール自体が届かないので、あとから「そんなこと聞いてない!」とか言って大騒ぎするですが、他の人は、まさかそんなことになっているとは分からないので、「なんで、こいつブチ切れているんだろう」と不思議に思っていました。
それに比べれば、本文を残してくれるだけでもだいぶんましでしょう。いい時代になったものです。
これ、どうやって送るの? (スコア:0)
送らないといけないこと、
結構あるんだけど?
Re:これ、どうやって送るの? (スコア:1)
Re: (スコア:0)
>移行する方針だとしている。
いや移行先を決めてから禁止してくれよ。
Re: (スコア:0)
パスワードなしzipファイルで送る。
Re: (スコア:0)
わかった、パスワード無しzipならいいんだ
Re: (スコア:0)
それだと危険だからパスワード付きZipをパスワードなしZipすれば万事解決じゃね?
Re: (スコア:0)
「パスワード付きZipとパスワードのテキストファイルをまとめてZip」が現れるのは確実
Re: (スコア:0)
ishかuuencodeでテキスト化して送れば…
Re: (スコア:0)
Excelにパスワードを掛ける。
パスワードZIPが問題なのは、実行ファイルなども送れてしまうからで。
ペン・パイナップル・アップル・ペン (スコア:0)
パスワード、パスワード、暗号、プロトコル
PPAPの曲が思い出せなくてなぜか思い出したのはネコミミモード
今ごろ?遅くない? (スコア:0)
PPAPなメールを排除する動きは数年前からあるけど、なぜ今頃話題に?
「IIJともあろうIT先進企業がここまで実施が遅れた」
「IIJも廃止したから、腰が重い組織も真似しよう」
そんなところだろうか?
そもそもメール自体を収束させていくべきじゃないかと思う。
話題になるのはPPAP推進派だったIIJが転向したから (スコア:3, 参考になる)
> PPAPなメールを排除する動きは数年前からあるけど、なぜ今頃話題に?
今までPPAPソリューションを売ってた方が廃止に回るのだからそりゃ話題になる。
2009年10月26日 19時57分 IIJ、「IIJセキュアMXサービス」に送信メールの添付ファイルを暗号化する機能を追加
https://japan.cnet.com/article/20402310/ [cnet.com]
Re: (スコア:0)
ジョークと違って説明しても死にやしないので、そういうのはきちんと本文にかいてほしいものだな。
Re: (スコア:0)
nagazouにそこまで求めるのは酷というものだ
常態化してるけどURLだけのタレコミからストーリーに仕上げるのも出血大サービスみたいなもんだから
書いて欲しいならタレコミに書いておくしかないな
Re: (スコア:0)
売ってたほうじゃなくて、現在進行形で売ってるほうですね。
オンラインの共有ストレージサービスへの移行を推奨するそうで。
Re: (スコア:0)
やっぱLINEよな
対策はどうする? (スコア:0)
パスワード付きzipファイルをパスワード無しzipファイルでアーカイブして送る
パスワードつきrarファイルを送る
こんなのじゃダメなの?
Re: (スコア:0)
真面目な話、パスワードクラックの試行回数/試行時間をシステム的に制御出来ない暗号化手段(=「暗号化されたファイルそのもの」を相手側に渡す形)は、現在の一般的なコンピュータが備える計算速度から考えると、どれも信頼性が低いので基本NGです。
Re: (スコア:0)
対策っていうかパスワード付きZIPで送るのをやめればいいんだよ
Boxとかで送ろうね
Re: (スコア:0)
この辺が混沌としていて嫌なんだよね
Yahop!ボックスだったりboxだったり社外サービスを平気で使う人がいるけど社内確認取っているのかな
自社でファイル送信をサポートしている所って少ないよね
MS、FCT、総務省「無意味だからやめろ」 (スコア:0)
我が社情シス(MS検定アリマス)「安全のために~、3ヶ月おきのパスワード変更を~、継続致します~」
キーボードにパスワードメモ張ってる奴の率、6割ってかんじの我が社は今日もセキュリティ意識調査実施中!(キリッ
有るべき対策って (スコア:0)
有るべき理想の対策ってコレなの?
違うような・・・
Re: (スコア:0)
どうせクラウドストレージ使いましょうって言われるんだけど、メールの代替にはならないんだよな
ファイルを相手管理のサーバーにpush出来るという要素がすっぽり抜けてる
Re: (スコア:0)
形だけの対策をとって見事に無意味に成ったの典型のような