作爲替代將加密文件作爲電郵附件發出、另外再發送密碼的「PPAP」方式,郵件管理軟體開發公司QUALITIA(東京都中央區)提出的一種新方式目前備受關注。該方式的特點是操作簡單,它使用郵件的標準功能,如能判定收件人的郵件收發路徑能夠加密,則會直接發送附件。作爲告別PPAP的一種新方法,有望擴大利用範圍。
QUALITIA公司在網站上公開的「線上TLS(加密通訊)應答工具」
PPAP是在第一封郵件中添加加密附件,再在第二封郵件中發送密碼。這是爲了防止附件被竊取或寄錯,於2010年代開始在日本盛行的獨特做法。
然而,既然採用了同樣的發送路徑發送密碼,無法從根本上防止郵件被盜。並且添加的壓縮檔案一旦避開了防毒軟體的監測,那麼收件人遭受目標型郵件攻擊的危險度將大爲提高。2020年11月,當時的數位改革大臣平井卓也宣佈終止PPAP,日立製作所等企業也就先後停止使用PPAP。
然而,由於成本與安全方面還存在問題,目前還沒有代替PPAP的決定性方案。
雖然郵件軟體開發商相繼推出了代替PPAP的系統,但郵件發送方爲了傳遞檔案需要簽約外部雲服務;收件方下載檔案所需密碼的傳達方式也各不相同。還有人指出,上述方法存在難以從收傳輸件的履歷中找到附件,反而更浪費時間等問題。
據QUALITIA公司的調查,其實大約90%的企業收傳輸件的通訊路徑已經加密。美國谷歌公司也曾公開表示,大約80%的郵件已經加密。目前,郵件通訊加密技術已經得到普及,郵件被盜的風險已大幅降低。
QUALITIA公司着眼於此調查結果,在該公司的郵件軟體中導入了新的替代方案。其做法是在發件方發送郵件之前,發件人的郵件系統會自動向收件方郵件系統發送應答指令,應答通訊是否會被加密。如果得到對方會加密的應答,就直接發送附件。QUALITIA公司銷售部長辻村安德表示,系統可「分辨收件方郵件系統是否具有加密功能後自動操控郵件的發送」。
由此,客戶就可以按照以往方式在郵件中添加附件後發送,不需要再另外使用加密附件的軟體了。收件方也不必在每次開啟附件時再麻煩輸入密碼。
對於不具備加密功能的收件方,發件人或可告知檔案的保存位址,或可按照以往方式用PPAP方式發送。如果收件人不希望用PPAP,則發件人可催促收件方對郵件系統進行加密處理。
因爲這種方法使用了郵件的標配功能,其他系統開發公司也可引入。QUALITIA公司已經公開了基本方法。
已有公司開始配備同樣功能。軟銀旗下的軟銀技術公司在防止郵件錯發的雲服務中,增加了可以應答收件方郵件伺服器是否對應通訊加密的功能。
QUALITIA公司提取了所開發的部分内容,以「線上TLS(加密功能)的應答工具」的方式在其網站上做了公開。客戶可輕鬆應答收件人網域名稱是否對通訊路徑進行加密。
目前的網頁瀏覽器在連接到不具備加密功能的網站時會彈出警告。郵件軟體今後在向不具有加密功能的對方發送郵件時彈出警告,由發件方督促收件方儘早改爲具有加密功能的做法將會變得更加普遍。
針對QUALITIA公司的解決方案,「PPAP」的命名人、PPAP總研代表大泰司章評論稱:「QUALITIA公司不僅強化了自家公司的產品,更爲了終端機客戶,讓整個行業都行動起來努力推廣,這一點值得稱讚」。
日文:大豆生田 崇志、《日經產業新聞》、2022年9月21日
中文:JST客觀日本編輯部
