PPAP問題と代替手段｜ZipCryptoの脆弱性とAES暗号化の使い分け

1. PPAPとは何か

PPAPは、

• ・Password付きZip ファイルを送る
• ・Passwordを別メールで送る
• ・暗号化（Angouka）
• ・Protocol（プロトコル）

の頭文字を取った造語で、2017年頃から情報セキュリティ界隈で揶揄的に使われるようになりました。問題は、同じメール経路で「ZIP→パスワード」を続けて送るため、メールを傍受されたら両方とも漏れて意味がない点にあります。「セキュリティを担保している演出」だけが残り、実際は防御になっていないわけです。

2. 2020年デジタル庁のPPAP廃止

2020年11月17日、当時の平井卓也デジタル改革担当大臣（後のデジタル庁初代大臣）が、中央省庁でのPPAPを廃止すると正式に発表しました。発表後、複数の省庁・自治体・大手企業が追従し、PPAP廃止の動きが本格化しました。

廃止の理由として挙げられたのは、(1) 別メールでパスワードを送ってもセキュリティ向上にならない、(2) 受信側のマルウェア検査をすり抜けてしまう、(3) ZIPの解凍・パスワード入力の手間で業務効率が下がる、の3点です。代わりに推奨されたのが、共有ストレージのリンク送付・S/MIMEなどのメール暗号化・大容量ファイル転送サービスの活用です。

3. ZipCryptoの脆弱性

そもそもZIPの標準暗号方式「ZipCrypto」自体に技術的な弱さがあります。ZipCryptoは1990年代のPKZIP 2.0時代に設計されたストリーム暗号で、32ビットCRCを内部状態に組み込む独自構造を持っていますが、現代の暗号学的基準では「既知平文攻撃（known-plaintext attack）」に対して脆弱です。

具体的には、ZIPに含まれるファイルの一部（例えばJPEG画像の最初の数バイト「FF D8 FF E0 ...」など、推測しやすい先頭バイト）がわかれば、PCのリソース次第で数時間〜数日でパスワードを解読できる場合があります。「数字8桁程度のパスワードなら数秒で破られる」とされ、機密ファイルの保護には不向きです。

4. AES暗号化（WinZip方式）

上位互換として2003年に登場したのが、WinZip 9.0が採用した「AES暗号化」です。AES（Advanced Encryption Standard、米国NIST標準）は、現代のオンラインバンキング・SSL/TLS通信・iOSのフルディスク暗号化など、現代社会の根幹を支える暗号アルゴリズムです。鍵長は128/192/256ビットの3種類があり、AES-256は実用的な総当たり攻撃には耐えうるとされます。

ZIPでAES暗号化を使うには、解凍する側に対応ソフトが必要です。具体的には7-Zip 9.20以降、WinRAR、The Unarchiver、Keka、Bandizipなどが対応します。Windows標準のエクスプローラー（Windows 10/11）は、執筆時点（2026年6月）でもAES暗号化のZIPは開けず、別途ソフトをインストールする必要があります。

手軽屋ZIP作成ツールでは、「強度重視」モードを選ぶとAES-256で暗号化します。社内ファイルの長期保管・機密性の高い書類の自己バックアップなどに向いています。

5. PPAPに代わる現代的な選択肢

• 共有ストレージのリンク送付：OneDrive・Box・Google Drive・Dropboxなどに保存し、アクセス権限を絞ったリンクを送る方法。受信者ごとにアクセス権を制御でき、ダウンロード履歴も残るためコンプライアンス的にも有利。
• S/MIMEまたはPGPでメール暗号化：メール自体を暗号化する方式。送信者と受信者の双方が証明書・鍵を持っている必要があり、ITリテラシーが要求されますが、最も強固な選択肢の一つ。
• 大容量ファイル転送サービス：firestorage・データ便・GigaFile便などの法人版（暗号化対応・パスワード別経路通知機能あり）。
• AES-256のZIP + 別経路パスワード共有：どうしてもZIPで送る必要があるなら、強度重視のAES-256を選び、パスワードは電話・Slack・対面で伝える。PPAPと違い、メール経路で完結しない。
• クラウド署名サービス：契約書ならDocuSign・クラウドサインなど、ZIP送付自体が不要になる選択肢も検討。

6. シチュエーション別の選び分け