インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。
同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。
今後、IIJは別のファイル共有手段に移行する方針で、顧客や取引先には個別に連絡するとしている。
PPAPは、日本の企業を中心に広く普及したセキュリティ対策であったが、メールを傍受された時の情報漏えいリスクが高く、パスワード付きZIPファイルを装ったウイルスに攻撃されるリスクがあるため、専門家からは対策としてほぼ無意味と指摘がある。これに伴い、内閣府では20年11月からPPAPによる外部へのファイル共有を廃止し、共有ストレージを使った方法に変更していた。