三菱UFJ銀行が7月18日でPPAP廃止 — 形骸化した「二重ZIP送信」はなぜここまで残ったか

三菱UFJ銀行が、2026年7月18日以降、社外メールでの PPAP (パスワード付き ZIP + パスワード別送) を原則廃止し、ダウンロード URL 方式に切り替えると発表した。パスワードは URL と別経路で受信者へ渡す。

なぜ PPAP は無意味だったのか #

PPAP の建前は「メール 1 通だけ盗まれても中身は見られない」だが、実態はほぼ機能していなかった。

• 同じ経路を二度通すだけ: 添付メールとパスワードメールは同じ MTA・同じ宛先を辿る。盗聴されるなら 2 通まとめて盗まれる。
• マルウェア検査が効かない: ZIP が暗号化されているとメールゲートウェイの AV が中身を見られない。Emotet が 2020〜22 年に大暴れしたのは、まさに暗号化 ZIP に正規マクロを紛れ込ませる手口で、日本だけ感染件数が突出した。
• 受信側のヒューマンエラー: 受信者は手動展開→ローカルスキャンが必要。「面倒だから開く」が常態化していた。

要するに PPAP は 「やった気になる対策」の典型例 で、防御効果はゼロに近かった。デジタル庁が 2020 年に中央省庁で廃止を打ち出してから 6 年、ようやくメガバンクが追随した格好だ。

URL 配信も油断は禁物 #

MUFG が採用する「ダウンロード URL + 別経路パスワード」は明確に PPAP より良い。受信側ゲートウェイの AV が効くし、URL の有効期限・アクセス履歴を集中管理できる。

しかし攻撃者目線では次が次のターゲットになる。

• 正規 URL の偽装: 「MUFG ダウンロード通知」を模したフィッシングが確実に増える。利用者は正規ドメインを暗記する必要が出てくる。
• アカウント乗っ取り経由のマルウェア配布: 社員アカウントが奪われれば、正規サイトから悪意のあるファイルが配られる。サプライチェーン攻撃のレールになる。
• URL とパスワードを同じチャットに貼る運用: 結局 Slack ログ等で抜かれる。

PPAP 廃止は 入口の一つを塞いだだけ。DMARC、配信基盤の MFA、社員教育とセットで運用しないと、攻撃者はすぐ別の入口を見つける。MUFG の決断は遅すぎたが、追随する組織はぜひ「URL 化したから安心」で止まらないでほしい。