企業のセキュリティ対策なら スワットブレインズ

ブログ

スワットカメラ

スワットカメラにようこそ!!
スワットカメラは、弊社の営業や技術スタッフが、販売店の皆さまやお客様とお仕事させていただいたときの”こぼれ話”を中心に、弊社がある京都での話題などをブログ形式で掲載していきます。
どうぞ、末長くご愛読いただけますようお願いします。

  • PPAP・添付ファイル付きメールの受信をお断り(拒否)する運用を開始することになりました

    本ブログ…1年半ぶりの更新となりました。
    サボり過ぎですね。 大変ご無沙汰しておりました。

    当ブログ(スワットカメラ)では、電子メールの PPAPメール について何度も記事にしています。

    ※PPAPメール
    Googleで検索すると、”Search Labs | AI による概要”にて以下のように紹介されます。

    PPAP (ピーピーエーピー) は、パスワード付きのZIPファイルをメールに添付し、その後パスワードを別メールで送信する手法の略語です。
    これは、メールでファイルを共有する際のセキュリティ対策として、かつて日本の多くの企業で利用されていましたが、現在ではセキュリティリスクが高いとして廃止が進んでいます。

    PPAPの仕組み:
    パスワード付きZIPファイル作成:ファイルをZIP形式に圧縮し、パスワードで保護します。
    ファイル添付メール送信:パスワード付きZIPファイルをメールに添付して送信します。
    パスワード別送:パスワードを別のメールで送信します。

    以下省略。

    AIでは、「廃止が進んでいます」と記載していますが、実態としては、変わって来てるけど、まだまだ PPAPメールで送信されています。

    弊社が「脱PPAP対策誤送信対策」として、ご提案・ご提供している safeAttach Evolution VPS Type-S/H は、電子メール送信の際に、送信したい電子ファイルを、未加工のままで添付し、送信すると相手先に応じて・組織が決めた送信ポリシーに応じて、

    • 自動ダウンロードURL変換での送信
    • 自動パスワード付ZIP変換での送信
    • 未加工の平文のままで送信

    ・・・という処理ができる仕組みとして、ご好評をいただいております。

    弊社から導入されるお客様の多数は「自動ダウンロードURL変換での送信」を活用されているようです。これは、自治体様・金融機関、医療機関や、民間企業 などに差はありません。

    しかし、まだポリシールールを伺うと、自動パスワード付ZIP変換での送信も運用されていますし、むしろ、その運用が「デフォルト利用」というお客様もあります。

    そして、弊社のお取引先様から届くメールについても、ダウンロードURL化された形でのご案内も増えましたが、PPAPメールで届く割合の方が多いのが実態です。

    そんな中、昨年後半から、非常に巧妙な迷惑メールが届く割合が急激に増えています。

    弊社では、届いたメールが【どの国から送信されたメール国名表示】する仕組みを導入しているので、見た瞬間に「 怪しい… 」と思ってスルーするようにしています。

    この記事を書いている前数日から届いたメールを見ても、

    ・件名
    【緊急対応】支払い方法の確認に失敗しています。至急ご対応ください
    内容
    Appleサービスをご愛顧いただき誠にありがとうございます。
    お客様のお支払い方法の認証に失敗したため、アカウントが近日中に
    一時停止される恐れがあります。このまま更新されない場合、
    ご利用中のサービスに深刻な影響が発生します
    [経路国情報] 大韓民国 > 中国

    ・件名
    情報の更新をお願いいたします。ご確認ください。
    内容
    お客様へお知らせです
    ご登録のカード情報が有効期限を過ぎています。引き続きサービスを
    ご利用いただくためには、カード情報の更新が必要です。お手数ですが
    できるだけ早く更新をお願いいたします。
    重要:24時間以内に更新を完了されない場合、アカウントが一時的に
    制限される可能性があります。
    [経路国情報] 中国

    上記のようなメールが数十~数百通届いています。
    他にも、楽天、Amazon、楽天証券、野村證券、AEONクレジット・・・

    このようなメールを受信するメールソフト環境では、差出人・送信者・From の表示まで、しっかり該当サービス事業者の名前が 日本語 で書かれています。

    もちろん、ソース表示・ヘッダ表示 などで From の情報を正しく見ると、全く関係ない組織から送信されていることは確認できます。

    しかし、そこまで毎回見るのは大変ですし、その操作を知らない人には全く気付かないものになります。

    この迷惑メールには、本文に URL が記載されていて、そのリンクをクリックするように誘導するものや、添付ファイルがついていてさらに ZIPファイルと、その解凍パスワード まで通知されてきてまさに「本物」と勘違いしやすいメールとして届きます。

    テレビやネットで「情報漏えい・サイバー攻撃」の話題が出た時 VPS装置の脆弱性を突いて…などと解説されている事もありますが、中には この不審メールの URL や 添付ファイル をきっかけに操作した端末の中に、悪性なプログラムが入り、静かに裏で活動し、同端末や同端末のユーザがアクセスできる権限のあるファイルサーバなどを巡回し、情報収集をおこなってリモート操作している悪意のある操作者へ情報を送り、その情報を使用して攻撃される。

    …そんなケースも考えられます。
    実際の、サイバー攻撃を受けた!って日より、はるか以前に LAN内の端末の中で、情報収集が行われたり、同一セグメント内の他の業務パソコン端末に感染してさらに活動していたり。

    言いだしたらきりがない。
    しかし、普段仕事で普通にメール読書きしている人は、そこまで慎重にセキュリティを意識してメール受信時の操作をしていない。

    なぜなら、詳しい知識が無いし・見抜く手段が判らないし・さらに何を言われているのか難しくて理解もできないし…です。

    できることなら、当社が導入しているような
    ・受信したメールが「どの国から送られてきたか」が見分けられる仕組み・・
    を導入してもらえたら、かなり詳しい知識とか無くても一目見ただけで「 これ、怪しいかも 」と見分けがつくようにもなるとは思います。

    しかし、迷惑で不審なメールは、どんどん巧妙になるので、いかにも仕事で関係してそうなメールと見間違える可能性は残ります。

    そんな状況もあって、また、弊社のお客様やパートナー様 からも
    ・PPAPメール を拒否できるような仕組みは無いかな?
    ・・と相談いただくことが増えました。

    弊社では、協業メーカ様と相談し仕組みの開発立上げを実施してきました。
    もちろん、まだまだ改善すべき点もありそうですが、まずは、自分達で使ってみよう!! ってことで、

    『PPAP・添付ファイル付きメールの受信をお断り(拒否)する運用』

    を2025年8月1日~ 本気で実施する!ってことになりました。

    ■ご案内・新着情報
    PPAP・添付ファイル付きメール受信拒否運用に関する予告通知のご案内

    ただ、弊社みたいな弱小企業が「何を偉そうに!!」ってお取引先の皆様からお叱りをいただきそうな気もしてます。

    そこで、弱気ながら、8月1日までの間は「事前の予告通知」をPPAPメールが届いた際に、その送信者様宛・自動通知するようなところから始めることになりました。

    それでも「はぁ? 何を言ってるの?」と叱られるかもしれません。

    でも、誰かが、具体的に、その仕組みを、使ってみて、そこから、何かが変わるかもしれない!!

    ・・・と志を高くして、チャレンジするつもりで・・・

    2025年5月2日の夕方から「事前の予告通知」の運用を開始しました。

    当社の取組みは、ご案内の書面として、5月2日17:00頃に、約1千数百通のメールに添えて送付しました。(ダウンロードURLで)

    メールでのご案内先は、弊社とお取引がある先へお送りしました。

    そして、当社のWEBサイト:新着情報に掲載。
    その後、当社のSNS や Eight などにも掲載しました。

    連休前の夕方… もうみんな仕事のやる気がOFFになってる時間…

    にも関わらず、・・・100名以上の方がダウンロードされました。

    ( safeAttach Evolution では、それが判るんです。<(_ _)>

    果たして、これからどんな風な反響があるか。
    或いは、それに気付かずに今まで通りの PPAPメールで弊社にご連絡をいただくことになるか。

    まずは、PPAPメール が届いたときは、送信者の方宛に当社が行うことについて記載したメールが自動的に送信されます。

    そして8月までは、当社側は PPAPメールを受信します。

    と言っても、添付ファイルは 分離・隔離されて、サンドボックスでファイルの内容を確認してから、受取る仕組みになっています。

    社員それぞれの受信メールボックス内には、PW付きの添付ファイルは届きません。

    それなりのセキュリティレベルを維持する仕組みとなっていますが、今回は「PPAPメールの受信をお断り(拒否)します!」っていう仕組みに向かって、新たな仕組みの導入を開始することになりました。

    超~~大手の企業様では、既に実施されている仕組みです。

    しかし、当社のような小さな会社では、生意気なことかもしれません。

    それでも、始めないと!始まらない!
    PPAPメールは危険です。PPAPメールは、送信側の誤送信対策としては一定の効果がありますが、受信する側から見ると危険なのです。

    5月2日(金)の夕方から、予告通知を開始。
    8月1日(金)からは、PPAPメールのお断り。

    実施してみますので、皆様には、ご理解とご協力をいただき 温かい目で応援していただけますと、とっても喜びます。

    また、一方で。。。。

    • ウチでも同じ事やりたい!
    • ウチも、PPAPメールを拒否する仕組みを入れたい!
    • 送信する際に、添付ファイルを自動的にダウンロードURL変換して送信する仕組みを入れたい
    • 脱PPAP対策誤送信対策を入れたい!

    そんなご希望やご要望がありましたら、ご相談ください。

    → sales@swatbrains.co.jp 宛に。

    きっと、ココから変わったね。っていうことになれば嬉しいです。

    是非、皆様と一緒に、具体的に変えていきましょう!

    何卒よろしくお願い申し上げます。<(_ _)>

    #PPAPメールをお断り #PPAPメールを拒否する仕組み
    #脱PPAP対策 #メール誤送信対策 #電子メールセキュリティ #メールシステム
    #パスワード付ZIP #パスワード付ファイル #暗号化 #ダウンロード
    #アンチウィルス #アンチスパム #メールセキュリティ
    #電子メール受信時にパスワード付ファイルを安全に受信する仕組み
    #全国の自治体で広く導入され稼働実績と導入実績は圧倒的シェアの仕組み
    #電子メールは送信側の理屈から受信する側の理屈が優先される時代
    #電子メール受信時のセキュリティリスクを大幅に軽減する仕組み
    #メール送信側の対応だけでば不十分で受信メールに対する対応が必要です。

    (Vol.125)

    ------------------------------------------------------------------------------------------------

    Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。