作为替代将加密文件作为电子邮件附件发出、另外再发送密码的“PPAP”方式,邮件管理软件开发公司QUALITIA(东京都中央区)提出的一种新方式目前备受关注。该方式的特点是操作简单,它使用邮件的标准功能,如能判定收件人的邮件收发路径能够加密,则会直接发送附件。作为告别PPAP的一种新方法,有望扩大利用范围。
QUALITIA公司在网站上公开的“在线TLS(加密通信)确认工具”
PPAP是在第一封邮件中添加加密附件,再在第二封邮件中发送密码。这是为了防止附件被窃取或寄错,于2010年代开始在日本盛行的独特做法。
然而,既然采用了同样的发送路径发送密码,无法从根本上防止邮件被盗。并且添加的压缩文件一旦避开了杀毒软件的监视,那么收件人遭受目标型邮件攻击的危险性将大为提高。2020年11月,当时的数字改革大臣平井卓也宣布终止PPAP,日立制作所等企业也就先后停止使用PPAP。
然而,由于成本与安全方面还存在问题,目前还没有代替PPAP的决定性方案。
虽然邮件软件开发商相继推出了代替PPAP的系统,但邮件发送方为了传递文件需要签约外部云服务;收件方下载文件所需密码的传达方式也各不相同。还有人指出,上述方法存在难以从收发邮件的履历中找到附件,反而更浪费时间等问题。
据QUALITIA公司的调查,其实大约90%的企业收发邮件的通信路径已经加密。美国谷歌公司也曾公开表示,大约80%的邮件已经加密。目前,邮件通信加密技术已经得到普及,邮件被盗的风险已大幅降低。
QUALITIA公司着眼于此调查结果,在该公司的邮件软件中导入了新的替代方案。其做法是在发件方发送邮件之前,发件人的邮件系统会自动向收件方邮件系统发送确认指令,确认通信是否会被加密。如果得到对方会加密的应答,就直接发送附件。QUALITIA公司销售部长辻村安德表示,系统可“分辨收件方邮件系统是否具有加密功能后自动操控邮件的发送”。
由此,用户就可以按照以往方式在邮件中添加附件后发送,不需要再另外使用加密附件的软件了。收件方也不必在每次打开附件时再麻烦输入密码。
对于不具备加密功能的收件方,发件人或可告知文件的保存地址,或可按照以往方式用PPAP方式发送。如果收件人不希望用PPAP,则发件人可催促收件方对邮件系统进行加密处理。
因为这种方法使用了邮件的标配功能,其他系统开发公司也可引入。QUALITIA公司已经公开了基本方法。
已有公司开始配备同样功能。软银旗下的软银技术公司在防止邮件错发的云服务中,增加了可以确认收件方邮件服务器是否对应通信加密的功能。
QUALITIA公司提取了所开发的部分内容,以“在线TLS(加密功能)的确认工具”的方式在其网站上做了公开。用户可轻松确认收件人域名是否对通信路径进行加密。
目前的网页浏览器在连接到不具备加密功能的网站时会弹出警告。邮件软件今后在向不具有加密功能的对方发送邮件时弹出警告,由发件方督促收件方尽早改为具有加密功能的做法将会变得更加普遍。
针对QUALITIA公司的解决方案,“PPAP”的命名人、PPAP总研代表大泰司章评论称:“QUALITIA公司不仅强化了自家公司的产品,更为了终端用户,让整个行业都行动起来努力推广,这一点值得称赞”。
日文:大豆生田 崇志、《日经产业新闻》、2022年9月21日
中文:JST客观日本编辑部
