PPAPと名付けたことで広まったこの件。
暗号化したパスワード付きZIPファイルを添付したメールを送り、その直後に解凍する際のパスワードを別のメールで送るという手順を「PPAP」としてニュースが流れました。
青文字はここに書かれた話をわかりやすく訳してみました。
問題点
・ZIPファイルのパスワードは総当たりで突破できるため、盗聴対策にはならない。
→ZIPファイルの暗号は簡単なので狙われた場合容易に突破されます!
・PPAP暗号化ファイルは、クラウドメールサービスのセキュリティーチェックやネットワーク上のウイルスチェックを通らない。そのため感染すると知らずに、なりすましメールの添付ファイルを開いてしまうケースがある
→例えば、いつも暗号化ファイルを送ってくる人からのメールが乗っ取られた場合、
ウイルスが入ったファイルをいつも通り開いてしまうことに。→感染
(暗号化されていなければウイルスチェックがされるので安心)
・誤送信対策としても、結局メールでパスワードを送るので、その前に誤送信に気づかなければ意味がない。
→誤発信していてもPWを電話番号に送る等しておけば、
誤発信先に閲覧されることはない。
解決策としては
・パスワードは電話やチャットなど別の手段で送る
・Dropbox(クラウド上)に置いてPWを知ってる方のみ閲覧可能にする
・SlackやSNSでやり取りする
等があるようです。
あとは手渡し、FAX...うーん。
相手が数人までは色々ありますが対数十人だとむずかしいですね