15 November 2022
2023年2月7日追記
本論文がIT media News等の記事として紹介されました。
2022年10月に開催されたコンピュータセキュリティシンポジウムで共同筆頭著者論文「日本国内におけるメールセキュリティに関する実態把握」がCSS優秀論文賞を受賞しました。
【書誌情報】
【論文要旨】
メールにおける添付ファイルの送信手法として用いられる,暗号化した ZIP ファイルを送付するセ キュリティ対策手法(通称「PPAP」)はセキュリティリスク削減効果がない上,有害である場合もあるも のの,国内の企業や公共団体を中心に広く利用されていて社会的課題となっている.そこで本研究では, 国内企業・団体を対象とした質問紙調査およびメールセキュリティ解析に基づき,PPAP 等のメールセ キュリティ対策の国内での利用状況の実態を明らかにする.本稿では調査の結果概要を速報値的に報告す る.調査の結果,2022 年 6 月現在,質問紙調査に回答した組織 344 件のうち約 64%が PPAP を利用して いて,PPAP 利用組織の 88%が PPAP の有害性・無効性を認識しているにも関わらず利用を続けているこ とが明らかになった.また,PPAP に対する攻撃に対して脆弱なメール運用を行なっている組織が多いこ とが明らかになった.
Japanese companies and organizations widely use PPAP (attaching an encrypted ZIP file to an email and then sending its password in the following email) as a security measure despite its ineffectiveness and potential harm. This study aims to clarify how, by whom, and why PPAP and other email security measures are chosen on the basis of a questionnaire survey and an email security analysis. This report provides a preliminary summary of the survey results. This survey revealed that approximately 64% of the 344 organizations that responded to the survey are still using PPAP (as of June 2022). Furthermore, 88% of the organizations that are using PPAP continue to use it even though they are aware of its harmfulness and ineffectiveness. It was also revealed that many organizations have e-mail operations that are vulnerable to attacks against PPAP.