パスワードを忘れた? アカウント作成
15488683 story
ビジネス

IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信 98

ストーリー by nagazou
廃止 部門より
IIJは15日、「PPAPに対する当社運用の変更について」とするリリースを出し、自社や自社向けの取引先で利用されているいわゆる「PPAP」を廃止すると発表した。制限がかかるのは2022年1月26日以降のメール。PPAPメールが送信されると、添付されたパスワード付きZIPファイルがフィルターにより削除され、メール本文のみを受信するとしている(IIJリリースITmedia)。

リリースタイトルにあるように自社のビジネス取引関係向けのもので、先日発表された日立のPPAP対応と類似したものとなっている。IIJが提供しているIIJmioのサービス契約者のPPAPメールが弾かれるといった性質のものではない。なお、グループ企業への方針拡大は未定だとしている。今後は顧客や取引先企業と協議しながら、共有ストレージサービスへの移行する方針だとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年11月19日 14時27分 (#4155350)

    パス付きzipだとシステムでハネられるから
    7zでパスワード付けてくれって
    客からメールが来たときには

    大爆笑を堪え切れなかった

    • by Anonymous Coward

      頭に偽のJPEGヘッダーを付けるのはどうでしょう。

      あと、ファイルリストが見えては困るので二重にzip圧縮しましょう。

    • by Anonymous Coward

      それ以外にもパスワード付きPDFとかパスワード付きEXCELもあるぞ!

      #嘘みたいなホントの話

      • ふつーに常用してます。まあパスワードの伝送経路がセキュアなら良いんじゃないかと。

        #セキュアだとは言ってない

        親コメント
        • by Anonymous Coward

          それ以前にPPAPはマルウェアが悪用する問題もあるので。
          ウイルススキャンが解読出来ないのを利用されてるのでパスワードの安全性とかどーでもいい使い方。

    • by Anonymous Coward

      パスワードをパスと略すのはやめろマン参上!

      パスワードをパスと略すのはやめろ!

  • パスワード付きZIPファイルを添付したメールが悪いんじゃなくて、そのメールを送った後にパスワードを書いて送るのがダメな話なんですよねぇ。

    私がパスワード付きZIPファイルを送る場合は、事前に電話をしてそこでパスワードを決めてから送る、というようにしてます。

    • by Anonymous Coward on 2021年11月19日 14時54分 (#4155378)

      パスワード付きZIPファイルを添付したメール「も」悪いんですよ。
      近年急激にPPAP廃止の流れに傾いた背景として、Emotetというマルウェアの流行があります。
      パスワード付きZIPファイルだとメールスキャンでマルウェアを検出できず素通ししてしまうんです。
      企業としてはパスワード付きZIPファイルを添付したメールを排除したくて仕方ないので、こういうステートメントを出すわけです。

      親コメント
    • by Anonymous Coward

      安全な経路で別途パスワード送っておくのが良いですねぇ。
      …FAXとかw

      SSLの証明書とまぁ同じような理屈だね。
      ハンドキャリーでパスワードリスト渡して、何番目使ったよーとか伝えるのが一番原始的だけど確実かな。

      事前共有キーワードと日付をハッシュしたのをパスワードにする、ってぐらいでも良い気もするんだけどね。
      毎日違うパスワードになるので、パス使い回しだけど使い回しじゃない感じになる。

      • by Anonymous Coward

        協力会社さん含めこれでやってた
        ランダムに変えると後でメールあさった時に開けられないってこともあってなぁ

      • by Anonymous Coward

        パスワード付きZIPは安全じゃないので止めようってのが最近の流れね
        事前共有キーとかは本質ではない

    • by Anonymous Coward

      パスワード付きZIPはセキュリティスキャンできないっていう問題があるよ

      だから端的に言えばメールに添付されたパスワード付きZIPそのものが悪、という話になる
      # なのでそんな怪しいファイルは消してしまえってことなんでしょう

      • by Anonymous Coward

        GMailはパスワードついてると問答無用で削除してくれてた気がする…。

        でもまぁ、そういうスキャンはクライアント側でやればいいんじゃないの、とも思うのだが。
        駄目なの?

        • by Anonymous Coward

          その手のマルウェアは犯人が事前に主要なアンチウイルスソフトで検知されないことを入念に確認してから
          送りつけるので、
          それでは対策にならんのでしょう。

          • by Anonymous Coward

            その場合、暗号化してないzipでも結局メールサーバ上でのスキャンにもかからないんじゃないだろうか。

            結局、添付ファイルは禁止!
            ってことだよね。暗号化zipに限らず。

            ※まぁjpegとかなら良いんだろうけど。偽装埋め込みとかマルウエアがしてくるわけもないしw

  • その昔、zipファイルが添付されているメールは問答無用に落とすという会社がありました。某大手IT企業です。
    (おそらく特許がらみの問題でzipプログラムを使わなかったのだと思う。十数年前のことなので詳細不明。)

    そこの人にはメール自体が届かないので、あとから「そんなこと聞いてない!」とか言って大騒ぎするですが、他の人は、まさかそんなことになっているとは分からないので、「なんで、こいつブチ切れているんだろう」と不思議に思っていました。

    それに比べれば、本文を残してくれるだけでもだいぶんましでしょう。いい時代になったものです。

  • by Anonymous Coward on 2021年11月19日 14時16分 (#4155337)

    送らないといけないこと、
    結構あるんだけど?

    • by Anonymous Coward on 2021年11月19日 14時24分 (#4155347)
      拡張子を.zi_にして送る
      親コメント
    • by Anonymous Coward

      >移行する方針だとしている。
      いや移行先を決めてから禁止してくれよ。

    • by Anonymous Coward

      パスワードなしzipファイルで送る。

    • by Anonymous Coward

      わかった、パスワード無しzipならいいんだ

      • by Anonymous Coward

        それだと危険だからパスワード付きZipをパスワードなしZipすれば万事解決じゃね?

        • by Anonymous Coward

          「パスワード付きZipとパスワードのテキストファイルをまとめてZip」が現れるのは確実

    • by Anonymous Coward

      ishかuuencodeでテキスト化して送れば…

    • by Anonymous Coward

      Excelにパスワードを掛ける。
      パスワードZIPが問題なのは、実行ファイルなども送れてしまうからで。

  • by Anonymous Coward on 2021年11月19日 14時18分 (#4155341)

    パスワード、パスワード、暗号、プロトコル
    PPAPの曲が思い出せなくてなぜか思い出したのはネコミミモード

  • by Anonymous Coward on 2021年11月19日 14時24分 (#4155348)

    PPAPなメールを排除する動きは数年前からあるけど、なぜ今頃話題に?

    「IIJともあろうIT先進企業がここまで実施が遅れた」
    「IIJも廃止したから、腰が重い組織も真似しよう」

    そんなところだろうか?

    そもそもメール自体を収束させていくべきじゃないかと思う。

    • by Anonymous Coward on 2021年11月19日 14時45分 (#4155366)

      > PPAPなメールを排除する動きは数年前からあるけど、なぜ今頃話題に?

      今までPPAPソリューションを売ってた方が廃止に回るのだからそりゃ話題になる。

      2009年10月26日 19時57分 IIJ、「IIJセキュアMXサービス」に送信メールの添付ファイルを暗号化する機能を追加
      https://japan.cnet.com/article/20402310/ [cnet.com]

      親コメント
      • by Anonymous Coward

        ジョークと違って説明しても死にやしないので、そういうのはきちんと本文にかいてほしいものだな。

        • by Anonymous Coward

          nagazouにそこまで求めるのは酷というものだ
          常態化してるけどURLだけのタレコミからストーリーに仕上げるのも出血大サービスみたいなもんだから
          書いて欲しいならタレコミに書いておくしかないな

      • by Anonymous Coward

        売ってたほうじゃなくて、現在進行形で売ってるほうですね。
        オンラインの共有ストレージサービスへの移行を推奨するそうで。

    • by Anonymous Coward

      やっぱLINEよな

  • by Anonymous Coward on 2021年11月19日 14時56分 (#4155382)

    パスワード付きzipファイルをパスワード無しzipファイルでアーカイブして送る
    パスワードつきrarファイルを送る

    こんなのじゃダメなの?

    • by Anonymous Coward

      真面目な話、パスワードクラックの試行回数/試行時間をシステム的に制御出来ない暗号化手段(=「暗号化されたファイルそのもの」を相手側に渡す形)は、現在の一般的なコンピュータが備える計算速度から考えると、どれも信頼性が低いので基本NGです。

    • by Anonymous Coward

      対策っていうかパスワード付きZIPで送るのをやめればいいんだよ
      Boxとかで送ろうね

      • by Anonymous Coward

        この辺が混沌としていて嫌なんだよね
        Yahop!ボックスだったりboxだったり社外サービスを平気で使う人がいるけど社内確認取っているのかな
        自社でファイル送信をサポートしている所って少ないよね

  • by Anonymous Coward on 2021年11月19日 15時00分 (#4155388)

    我が社情シス(MS検定アリマス)「安全のために~、3ヶ月おきのパスワード変更を~、継続致します~」

    キーボードにパスワードメモ張ってる奴の率、6割ってかんじの我が社は今日もセキュリティ意識調査実施中!(キリッ

  • by Anonymous Coward on 2021年11月19日 15時01分 (#4155390)

    有るべき理想の対策ってコレなの?
    違うような・・・

    • by Anonymous Coward

      どうせクラウドストレージ使いましょうって言われるんだけど、メールの代替にはならないんだよな
      ファイルを相手管理のサーバーにpush出来るという要素がすっぽり抜けてる

      • by Anonymous Coward

        形だけの対策をとって見事に無意味に成ったの典型のような

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...