PPAP禁止の機運が高まったのは、2020年10月にセキュリティ上のリスクが指摘されたことも背景にある。昨年来「エモテット」と呼ばれるマルウェア(コンピューターウイルスなど悪意のあるソフトウェア)が世界中で流行している。メールの本文などの情報を窃取し、関係者の返信などに見せかけたメールを送って信用させ、マルウェアを含む添付ファイルを開かせて感染させるというものだ。

PPAPで送られる暗号化ファイルは、「Gメール」などのクラウドメールサービスのセキュリティーチェックやネットワーク上のウイルスチェックを通らない。そのためマルウェアに感染すると知らずに、なりすましメールの添付ファイルを開いてしまうケースがあるのだ。

これを受け、アメリカ国土安全保障省のサイバーセキュリティー・インフラストラクチャーセキュリティー庁は、パスワードが設定されたZIPファイルなど、セキュリティー対策ソフトでスキャンできないメールの添付ファイルなどをブロックするよう呼びかけた。

いち早く動いたfreee

いち早く対応に動いたのが、クラウド会計ソフトを手がけるfreee(フリー)だ。同社はアメリカ政府の注意喚起などを受け、2020年10月からPPAPのメール受信禁止に向け動き始めた。土佐鉄平CIO(最高情報責任者)は、「数年前から不審なZIPファイルを受信したり、それを社員が開けてしまったりというケースはあった。実害は出ていなかったが、エモテットが爆発的に広がり、いっそのことブロックできないかと検討を始めた」と振り返る。

その後11月に受信禁止の方針を発表し、12月1日から運用を開始。PPAPを利用していた取引先に止めてもらうようお願いし、難しい場合は該当する取引先のドメインを受信禁止の例外にする申請をするよう、社員に要請した。

フリーのある1日のメールの受信状況を調べたところ、1日に受信したメールは約11万通だった。送信元のドメイン数は約1200で、このうち受信禁止の例外登録をしたのは200程度だったという。「エモテットのようなマルウェアの多くは中堅・中小の取引先からのメールに多かった。例外登録したドメインの大半は金融機関をはじめとした大企業なので、見た目の数以上にリスクを軽減できている」(土佐氏)。