2026 年 6 月、三菱UFJ銀行は顧客向けメールでの PPAP (パスワード付き ZIP の添付 + 別メールでパスワード送付) を原則取りやめる と発表した。2026 年 7 月 18 日から順次切り替え、ZIP 添付の代わりに専用ダウンロードサイトの URL を本文に記載し、パスワードを別メールで送る方式に移行する。
なぜ PPAP は危険なのか #
PPAP は「暗号化しているから安全」と長年信じられてきたが、攻撃者にとっては逆に好都合な仕組みである。
1. ZIP を暗号化してメールに添付
送信側は「保護した」と思っているが、メールゲートウェイのアンチウイルスは
.zip の中身をスキャンできない。2. 別メールでパスワードを別送
同じメール経路を使うので「経路漏洩リスク」は変わらない。BEC で乗っ取られれば本文もパスワードも一緒に抜かれる。
3. 受信者の端末で展開
中身がマルウェアでも、暗号化を解いた瞬間に受信者の PC 上で初めて展開される。検知の最終ラインを越えた後である。
実際 Emotet や IcedID といったマルウェアは、暗号化 ZIP でばらまく手口を多用してきた。「ゲートウェイで弾けない」というのが PPAP の本質的な穴であり、パスワードを別送する儀式は攻撃者の侵入経路に対しては何の防御効果も持たない。
メガバンク発の波及効果 #
新方式の「URL+別送パスワード」も完全な解ではない。URL クリック自体がフィッシングと区別しにくく、リンクの真正性をどう担保するかという課題は残る。それでも、メガバンクが正式に PPAP を切り捨てた意義は大きい。取引先や顧客の側に「銀行がそう言うなら自分も合わせる」という同調圧が逆方向に働くからだ。
政府機関では既に内閣府や法務省が 2020 年前後に廃止しており、企業側でも Box / OneDrive 等の SaaS 共有や S/MIME への移行が進む。PPAP は日本独自に定着した儀式的なセキュリティ慣習で、海外取引先からは「なぜ二通に分けるのか」と長年訝しがられてきた。今回の三菱UFJの動きが、日本企業全体での脱 PPAP を一気に加速させる起爆剤になりうる。
COMMENTS 0
No comments yet — be the first to leave one.