三菱UFJ銀行がPPAP廃止を正式決定
三菱UFJ銀行は6月8日、電子メールでパスワード付きZIPファイルを送信し、そのパスワードを別のメールで通知する「PPAP」と呼ばれる方式を、7月18日以降に原則として廃止すると発表した。この発表に、SNS上では「まだ続けていたのか」「今さら?」といった驚きの声が上がっている。
PPAP廃止の背景
PPAPは、セキュリティ上の脆弱性が指摘され、2020年頃から国内のIT企業を中心に廃止の動きが広がった。三菱UFJ銀行は今回、ようやくこの方式を廃止することを決めたが、その経緯についてITmedia NEWSの取材に対し、計画自体は以前から存在していたと回答した。
同行の担当者は「社内で新たなシステムの開発を進めており、PPAPを廃止する計画は以前から検討していた。今回、システム開発の目途が立ったことで、正式にPPAP廃止を決定した」と説明している。ただし、新システムの詳細については明らかにしなかった。
新たなファイル共有方法
廃止後は、メール本文に専用のダウンロードサイトへのURLを記載し、受信者がそのサイトにアクセスして専用パスワードでファイルをダウンロードする方式に切り替える。この方法により、パスワード付きZIPファイルをメールに添付する必要がなくなり、セキュリティが向上するとしている。
また、PPAP廃止後に使用するファイル共有システムについても質問したが、同行は「具体的な製品名については差し控えるが、諸要件を慎重に検討した上で選定した」と回答するにとどまった。
PPAPとは何か
PPAPとは、「Password付きZIPファイル」と「Passwordを別送」する方式の通称で、ピコ太郎のヒット曲「ペンパイナッポーアッポーペン」(PPAP)にちなんで名付けられた。しかし、この方式はセキュリティ上、脆弱であることが指摘されており、多くの企業が廃止を進めている。
実際、2022年1月にはインターネットイニシアティブ(IIJ)がPPAPを廃止し、同年11月には内閣府や内閣官房も廃止を発表。ソフトバンクも同様の対応を取っている。しかし、国内にはまだPPAPを使い続けている企業も存在し、その実態が問題視されている。
今後の展望
三菱UFJ銀行の今回の決定は、業界全体のセキュリティ意識向上に寄与するものと期待される。同行は今後、新システムの導入を進め、より安全なファイル共有環境を提供する方針だ。
