三菱UFJ銀行は2026年6月8日、メールでパスワード付きZIPファイルを送信し、パスワードを別のメールで送る方法(通称「PPAP」)を原則として取りやめると発表した。
PPAP廃止の背景
PPAPはファイルを暗号化するため、メール受信時にマルウェアのチェックが困難な上、パスワード付きZIPファイルを悪用したサイバー攻撃の事例もある。これらのリスクに対応し、セキュリティ確保のため変更を決めた。
新しい方式
7月18日以降順次、同行の役職員が添付ファイルを送る際は、メール本文に専用ダウンロードサイトへのURLを記載する形に切り替える。受信者はURLからサイトにアクセスし、別送される専用パスワードを使ってファイルをダウンロードする。
—
PPAP廃止の広がり
PPAPは日本の企業や官公庁で広く普及してきたが、セキュリティ上の問題が指摘され、廃止の動きが広がっている。政府は2020年11月に中央省庁でのPPAP廃止を決定。企業も相次いで廃止に踏み切っている。
関連事例
- ソフトバンク:業務メールでのパスワード付き圧縮ファイルの利用を廃止。増加する「Emotet」などのマルウェアを警戒し、情報セキュリティ強化のため廃止を決めた。
- IIJ:PPAPを廃止。2022年1月26日から添付ファイルを削除し、メール本文のみを受信する。
なぜ「PPAP」と呼ばれるのか
ピコ太郎の「ペンパイナッポーアッポーペン」(PPAP)は4年前に流行した。現在、廃止が取り沙汰されているパスワード付きZIPメールの「セキュリティしぐさ」もPPAPと呼ばれる。そのような呼称がついた理由は、ファイル送信の手順がピコ太郎のPPAPのように「パスワード付きZIP」と「パスワード」を別々に送る様子を連想させるからだ。
なお、PPAPを使い続ける国内企業も一定数存在する。有害と知りつつ使う企業もあり、その実態については東京大学などの研究チームが「日本国内におけるメールセキュリティに関する実態調査」の研究報告を発表している。
